Zdroj: ZDNet
Firma 7-Eleven uviedla 1.júla s veľkou slávou novú mobilnú aplikáciu 7pay, ktorou mali zákazníci platiť v ich prevádzkach v Japonsku. Aplikácia fungovala tak, že pri platení zákazník ukázal čiarový kód na mobile, ktorý pokladník zoskenoval. Peniaze boli následne stiahnuté z debetnej alebo kreditnej karty nastavenej v mobilnej aplikácii 7pay.
Už na druhý deň sa zákazníci začali sťažovať, že sa nevedia dostať do svojej aplikácie 7pay. Firma 7-Eleven zastavila platobnú aplikáciu o dva dni 3.júla a priznala, že 900 zákazníkov prišlo dokopy o 55 miliónov jenov (510.000 dolárov). Firma sľúbila nahradiť zákazníkom vzniknuté škody.
Ako sa to stalo? Z nepochopiteľných príčin mala aplikácia funkciu resetovania zabudnutého hesla urobenú tak neprofesionálne, že umožnila prevzatie účtov. Bolo možné nastaviť, aby reset hesla prišiel nie na zaregistrovanú emailovú adresu, ale na hocijakú zadanú počas resetu. <— Naozaj nežartujem, tak to bolo nastavené.
Na reset hesla bolo nutné vedieť len emailovú adresu obete, dátum narodenia a telefónne číslo. Ak používateľ nezadal dátum narodenia, bol použitý dátum 1.1.2019. Ak sa čudujete odkiaľ vedeli útočníci zvyšok, tak ak sledujete náš blog a počúvate náš podcast tak viete, že internet je plný uniknutých databáz s osobnými údajmi.
Ako perličku spomeniem, že keď sa predstaviteľa firmy na tlačovej konferencie pýtali na dvojfaktorovú autentifikáciu tak bolo zrejmé, že tento výraz počuje prvýkrát. Za nepochopiteľnú implementáciu funkcie resetu hesla udeľujeme firme 7-Eleven titul fail týždňa.
Obrázok: „MiNe-M5_100-0564UG“ by MiNe, used under CC BY 2.0
