无论是科技行业的老牌玩家苹果,还是新试水互联网经济的传统行业巨头7-11,在一年内都遭遇了类似的安全事件以及因此引发的信任危机,而危机的来源正是——盗刷。
7pay盗刷事件:验证步骤不设防坑了近千用户
7月1日,日本三大连锁便利店之一的7-Eleven推出的自建手机支付服务7pay正式上线运营。从促销让利活动的规模来看,7-Eleven极其重视这项业务的推广的后续发展,计划每年在发放专属优惠券、现金返现等方面投入500亿日元(约合人民币31.6亿元)。然而被寄予厚望的7pay在刚刚问世几天就遭遇了声誉和信任的重大打击。7月4日,在7pay上线第四天,日本7-Eleven官方证实7pay安全系统被外部入侵,约有900名用户遭遇财产损失,被盗用资金大约5500万日元,约合人民币350万元。当天下午,7-Eleven董事长召开记者会公开谢罪,向权益遭受损害的用户道歉,并表示所有损失将由7-Eleven官方进行全额赔偿。同时为了避免盗刷事件规模继续扩大,7pay立即停止了储值功能,并暂停新会员用户注册。
据知情人士披露,7pay盗刷事件极大可能是由于自身系统安全防护设计存在巨大隐患引发的。有人用自己的账户展示7pay安全设置关键步骤中的漏洞:7pay重置账户密码只需要填写会员出生年月日和申办时的邮箱即可,在填入验证码之后可以使用其他任意邮箱重置密码。如果该账号已经绑定银行卡,在重置密码之后并不影响银行卡的使用,依旧可以为7pay账户充值。最致命的一点是,作为身份认证的一环,会员出生年月日可以选择为默认的2019年1月1日,而且在重置密码时,会员初始注册邮箱并不会收到任何消息。
尽管日本警方在抓获盗刷事件犯罪嫌疑人后尚未透露更多细节,但有人猜测之前已存在7pay账户信息的大规模泄露,并因此引发了利用系统设置漏洞和已泄露账户信息的盗刷犯罪。
Apple Pay盗刷事件:非自愿免密支付使现金账户门户大开
在7pay盗刷事件发生大约半年之前的2019年初,中国境内的苹果手机用户也遭遇了大规模Apple Pay盗刷。据了解,Apple Pay账户之所以被盗刷,除了账号密码被非法获取外,Apple Pay免密支付也成了另外一个帮凶。目前国内苹果应用商店的主流支付方式是支付宝和微信,但无论选择哪一种都要同意免密支付。苹果官方客服表示:“免密支付是我们平台上,您尝试去添加的时候,一个默认的机制,这个没办法做任何选择或者变更。如果您接受的话就可以绑定成功这样一个支付方式。” 在苹果应用商店里消费时,首先要输入苹果账户和密码进行登陆,然后再绑定一个支付方式,完成了这些前提条件,每次的消费便只需要输入苹果账户的密码即可。这就意味着一旦泄露了苹果密码,绑定的支付方式就会任人宰割。当然在此基础上,苹果用户账号信息大规模泄露也是盗刷事件的导火索。
目前,利用电子支付的盗刷诈骗事件层出不穷,如何兼顾便利性和安全性的沉重课题已经摆在眼前。针对如何防范盗刷和有效降低财产损失,一些信息安全相关人士建议,首先用户可以主动控制支付方式的额度,包括免密支付上限和绝对消费上限,即使被盗刷也能将损失控制在较小范围之内;其次不要在多个平台使用相同的账户和密码,避免全面中招。但从源头防止盗刷必须相关互联网平台的运营者负起责任,严防账户信息泄露,保护用户支付安全。
文|汪晨
