日本7–11一夜改口,到底7Pay系統出了什麼問題?

CHANG, Yu-Chieh
Jul 6 · 8 min read

4號,日本 7–11獨自開發的行動支付系統(電子錢包)「7Pay」爆出資安危機,約有 900多名 7Pay用戶的帳號遭盜刷,背後疑似有跨國犯罪集團針對 7Pay設計上的缺失組織犯罪。(細節請參考前文《日本7–11行動支付上線不到一週就出包,背後疑似有跨國集團組織犯罪》)

本文將從 7Pay遭組織盜刷事件,討論 7Pay的資訊安全到底出了什麼問題。


電子商務分三種

以台灣為例,台灣的電子商務按法規可以分成:「電子票證」、「第三方支付」和「電子支付」等三種。

1. 電子票證

像悠遊卡、一卡通、icash這種電子錢包,使用前要加值(現在有些銀行或信用卡推出綁定銀行戶頭的自動加值功能,這種屬於後者),不一定要記名。

主管機關是金融監督管理委員會(金管會),適用《電子票證發行管理條例》。

2. 第三方支付(現在有超過 5,000家)

台灣的LINE Pay屬於這種,是以「使用者、付款方⇔第三方支付公司⇔商家」的C2B形式,個人用戶之間不能B2B直接進行金錢上的交易。

主管機關是經濟部,沒有法律位階的規範,適用經濟部法規命令〈第三方支付服務定型化契約應記載及不得記載事項〉及〈信用卡收單機構簽訂『提供代收代付服務平台業者』為特約商店自律規範〉。

3. 電子支付(目前只有橘子支付、國際連、歐付寶、智付寶、ezPay台灣支付和街口支付這六家)

如果完成第二階段銀行帳戶加國民身分證的身分驗證完成後,可以進行個人用戶間B2B轉帳,如果沒有完成第二階段驗證,功能同「第三方支付」的限制。

另外,要使用B2B轉帳功能,該用戶一定要先從銀行帳戶轉帳到電子支付的帳戶當中,不得使用信用卡轉帳、儲值電子支付帳戶內的餘額。

主管機關是金融監督管理委員會(金管會),適用《電子支付機構管理條例》。

7Pay屬於第三方支付

雖然台灣和日本的法規不同,但從 7Pay「使用前需要先加值」、「不是卡片而是行動載具」這兩點,7Pay屬於「第三方支付」的電子錢包。而且 7Pay只需要綁定既有的 7–11帳號「7iD」,並下載最新版的 7–11「セブン-イレブン」APP,就能開通 7Pay賬戶,完全不需要其他認證,所以 7Pay就是第三方支付而非電子支付。


7–11從一開始就太鬆懈

IT記者本田雅一指出,這次 7Pay事件從 7Pay系統最初的設計、7–11公司內部在出現異狀的第一時間沒有發現問題,以及對於緊急狀況處理全部都太鬆懈。以這次事件為例,本田雅一指出了三大問題:

  1. 7iD帳號太容易被盜。只要按照正常手續,任何人都可以輕鬆取得、登入他人的 7–11帳號。
  2. 7–11對於太輕忽重要個資。通常和信用卡資訊有關的金融資料,都會採用兩階段驗證(*)。
    7Pay不僅沒有兩階段驗證的設計,想要更改 7–11「7iD」帳密,只要有帳號,不需要輸入出生年月日也能更改密碼。更正確地說,在申請 7iD帳號的時候,出生年月日就不是必填資訊,沒有特別輸入的話就是系統預設日期,這些都可以查得到。
  3. 最嚴重的一點就是 7–11對於自家的系統太有自信。
    7Pay系統上線隔天,就不斷有用戶指出自己的帳號疑似被盜,但 7–11在第一時間的作法只是暫停該帳號的信用卡、現金卡直接轉帳儲值功能。
    而且 7–11在記者會上不斷強調,自家的 7Pay系統沒有弱點,這些設計都是為了使用者的方便而設計的。
小補充:兩階段驗證
常見的兩階段驗證包括簡訊驗證,或e-mail驗證。系統會寄一封簡訊或e-mail到指定的信箱,使用者需要收信確認驗證密碼,再回到會員登入頁面上輸入這組密碼。
兩階段驗證未必是「最安全」的方式,簡訊驗證或e-mail驗證也有它的缺點,而且兩階段驗證對於使用者來說「操作上覺得很麻煩」。但像這次 7Pay的事件來說,假如 7Pay有加裝兩階段驗證系統,或許就能防止第三者登入 7iD帳號。

事實上,7–11集團旗下就有 7–11銀行,假若 7Pay在上市前和 7–11銀行請益過的話,理論上不會發生這種「連兩階段驗證都沒有」的低級錯誤。有內部人士向《產經新聞》透露,7–11銀行在 7–11集團裡面是獨立的組織,幾乎不會互相交流,透露了 7–11集團內部橫向整合也有問題。

被第三人改密碼,當事人可能完全不知情

記者會上,有記者質疑是不是會員帳密清單外流,讓外人有機會取得 7iD會員帳號密碼,登入帳號。事實上,這次的事件不需要到「帳密清單外流」,7–11的 7iD會員系統設計上本身就有漏洞。

通常,只要第三者可以取得會員的出生年月日、電話號碼和 e-mail(7iD的會員帳號就是e-mail),就可以更改該名會員的密碼。如果要更改會員密碼,不需要經過兩階段驗證,還可以指定將重設新密碼的e-mail寄到不同於會員帳號的信箱。換言之,如果第三者想要修改某個人的會員密碼,重設新密碼的信可以直接寄到第三者的信箱,過程中當事人可能完全不知情。

對此 7–11回應道,密碼重設的設計上是從使用者使用上的方面來設計,如果大家覺得有需要改善的話,7–11會調整這項作法。

但問題不僅如此。7iD在設計上,如果是從手機APP開設新帳戶,出生年月日這一欄是選填,如果沒有特別修改的話,就會顯示 2019年1月1日,而且這還是會員的公開資訊。如果是從7–11 APP要登入他人帳號的話,也只要輸入電話號碼和e-mail,不需要輸入會員的出生年月日,就可以成功登入。

系統上線前可能根本就沒有測?

金融分析公司Japan Digital Design(ジャパンデジタルデザイン)的CTO楠正憲指出,2014年Google和Facebook就注意到只有帳號和密碼認證不能保障用戶的個資安全,所以現在的個資安全基本上除了帳號密碼之外,還需要加上一次性密碼或生物識別技術驗證。

楠正憲接著提到,像 7–11這次是從既有的 7–11會員卡兼折扣券APP加裝電子錢包功能,對於駭客來說,多了電子錢包功能就很有吸引力,有攻擊、駭入系統的價值,所以一定要提升APP的個資安全和風險管理。

然而,7–11在記者會上不停強調,沒有人在 7Pay上線前的系統測試上指出系統上有問題。但在業界裡面,7Pay明顯是一看就有漏洞的系統,而懷疑 7–11是不是真的有在系統上線前經過弱點測試(脆弱性試験,vulnerability test)。

經濟產業省也開罵

就連日本經濟產業省的無現金推廣室(キャッシュレス推進室)也批評,7Pay這次是從基礎的基礎都沒做,「如果沒有兩階段驗證,任何服務都會暴露在風險之中」。經濟產業省也警告 7–11,如果 7–11沒有盡快找出事發原因並制定防範對策,防止類似的事件再度發生,今年 10月日本消費稅從 8%上升到 10%後,針對電子錢包使用者的點數回饋方案,將不適用於 7Pay用戶。

對於不少消費者來說,面對日本今年 10月消費稅即將多 2%,改用電子錢包付款可以獲得點數回饋,比現金支付划算許多,而有不少人開始改用行動支付(電子錢包)付款,也有不少企業嗅到這個商機,而紛紛加入行動支付市場,7–11就是其中一例。不過,7–11至今還沒有登錄成為經濟產業省的電子錢包紅利點數回饋業者,所以經濟產業省這一番話對於 7–11來說只能算是警告。

過了一天終於改口

隨著 7Pay爭議延燒了一天,7–11在隔天(5)終於放下身段改口,7Pay將會比照其他家行動支付,導入兩階段驗證以及加值金額上限。7–11公關表示,這次收到經濟產業省的提點,指出 7Pay沒有導入兩階段驗證已經違反電子錢包業界的guideline,而決定要在 7Pay導入兩階段驗證。


石川カオリ的日本時事まとめ翻譯。

看到好玩有趣、各種傻眼的日本新聞就會隨手翻翻的日文新聞編譯平台。

CHANG, Yu-Chieh

Written by

大阪大学人間科学研究科グローバル共生学講座(2019/04~)台日/LGBT/移民工/慰安婦/核電,現居日本大阪。文章散見【地球圖輯隊】、【關鍵評論網】,合作邀約:yuchieh_osaka@outlook.com

石川カオリ的日本時事まとめ翻譯。

看到好玩有趣、各種傻眼的日本新聞就會隨手翻翻的日文新聞編譯平台。

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade