Posté le juillet 5, 2019 à 9:29
L’APPLICATION DE 7-ELEVEN PRÉSENTANT DES FAILLES EXPLOITÉE: DES UTILISATEURS JAPONAIS PERDENT 510 000 DOLLARS AU PROFIT DES HACKERS
Les actes de piratage informatique continuent avec la même fréquence qu’auparavant, les victimes les plus récentes étant les clients de 7-Eleven au Japon. Selon des informations récentes, environ 900 d’entre eux ont été touchés par un nouveau piratage , qui visait l’application défectueuse 7pay, piratant des comptes et portant des accusations illégales en leur nom. Les victimes ont été volées d’environ 55 millions de yens, soit 510 000 dollars des États-Unis.
Que s’est-il passé ?
Comme indiqué précédemment, l’incident résulte d’une faille de sécurité dans la conception de l’application de paiement. L’application elle-même est plutôt nouvelle et n’a été lancée que ce lundi 1er juillet par 7-Eleven Japan. L’application, connue sous le nom de 7pay, a été conçue pour afficher un code à barres sur l’écran des smartphones des utilisateurs lorsqu’ils atteignent les guichets des caisses dans les magasins 7-Eleven.
Le caissier scannerait ensuite le code à barres et l’utilisateur serait facturé pour les produits achetés via ses applications. Si leurs cartes de crédit ou de débit sont enregistrées dans leur compte, le montant leur serait prélevé et le processus serait terminé.
Le problème était dû au fait que l’application contenait une fonction de réinitialisation de mot de passe, qui était très mal conçue. En termes simples, cela a permis à quasiment n’importe qui de demander une réinitialisation de mot de passe. Pire encore, le nouveau mot de passe serait envoyé à l’adresse électronique au lieu de parvenir directement à l’utilisateur de l’application.
En d’autres termes, si le hacker connaissait les adresses électroniques, les numéros de téléphone et les dates de naissance des utilisateurs, ceux-ci seraient en mesure de réinitialiser le mot de passe. En outre, ils avaient également la possibilité de saisir une adresse électronique tierce et d’exiger que les liens de réinitialisation soient envoyés à cet e-mail, au lieu de celui appartenant à l’utilisateur légitime.
De plus, si un utilisateur omettait de fournir sa véritable date de naissance, l’application en utiliserait une par défaut, — 1er janvier 2019. Les rapports de l’incident indiquent que cela simplifiait encore davantage les attaques et réduisait le nombre d’informations spécifiques que le hackers devait acquérir sur les utilisateurs. Ce n’est pas qu’il serait difficile d’obtenir la plupart des données nécessaires, car les utilisateurs japonais ont été victimes de nombreuses attaques de piratage et de violations visant de grands sites Web et de grandes entreprises. Il est plutôt facile pour tout hackers d’obtenir ces informations et de les utiliser à des fins malveillantes.
7-Eleven promet une indemnisation
Au fur et à mesure que la nouvelle de l’incident se propageait, de plus en plus d’utilisateurs ont commencé à se plaindre auprès de 7-Eleven, affirmant qu’ils étaient leur compte est bloqué. La filiale de la société au Japon, 7-Eleven Japan, a donné suite à ces informations le 16 juillet, interrompant le service dans l’espoir d’empêcher de nouveaux incidents.
Un jour après cela, le 4 juillet, la société a publié une déclaration officielle expliquant ce qui s’était passé ces derniers jours et avouant que des hackers avaient volé environ 55 millions de yens après avoir piraté environ 900 comptes. De plus, 7-Eleven a également promis d’indemniser les victimes.
Entre-temps, on ignore si quelqu’un tentera de rechercher les hackers, mais il est connu que deux Chinois ont été arrêtés à Tokyo hier pour avoir tenté d’acheter des cigarettes avec le compte 7pay de quelqu’un d’autre. Beaucoup pensent maintenant qu’ils sont peut-être à l’origine de l’attaque ou qu’ils y sont au moins en quelque sorte liés à l’incident.
