TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
มีเหตุการณ์เกิดขึ้นกับแอปพลิเคชันจ่ายเงินผ่านมือของ 7-Eleven ญี่ปุ่นที่มีการดีโซน์ขั้นตอนการขอรีเซ็ตรหัสผ่านอ่อนแอ โดยแฮ็กเกอร์ได้อาศัยจุดนี้เข้าไป Hijack บัญชีของผู้ใช้ไปกว่า 900 บัญชีและสร้างมูลค่าความเสียหายกว่า 55 ล้านเยนหรือราว 15,400,000 บาท
เมื่อวันที่ 1 กรกฎาคมที่ผ่านมาทาง 7-Eleven ของญี่ปุ่นได้ปล่อยแอปพลิเคชันจ่ายเงินผ่านมือถือ โดยผูกบัตรเครดิตหรือเดบิตไว้กับแอปและแสดงบาร์โค้ดให้พนักงานสแกนตอนจ่ายเงินที่เค้าเตอร์ อย่างไรก็ตามหลังจากเปิดใช้งานมาได้เพียงวันเดียวก็มีผู้ใช้เริ่มพบปัญหามีการล็อกเอ้าต์บัญชีจึงได้เปิดเผยเรื่องราวทางทวิตเตอร์
โดยจากการสืบสวนก็พบว่าแฮ็กเกอร์อาศัยช่องโหว่เพื่อขอรีเซ็ตรหัสผ่านบัญชีซึ่งทำการ Hijack บัญชีได้อย่างง่ายดาย สำหรับขั้นตอนที่เป็นปัญหาคือแอปได้อนุญาตให้ใครก็ตามขอรีเซ็ตรหัสผ่านบัญชีของผู้อื่นได้พร้อมทั้งส่งลิงก์ไปที่อีเมลของคนขอแทนที่จะเป็นของเจ้าของตัวจริง ซึ่งเพียงแค่แฮ็กเกอร์ทราบอีเมลในแอป 7pay ของเหยื่อ วันเกิด และเบอร์โทร ทั้งนี้ประเด็นคือมีช่อง ‘Additional Field’ ที่สามารถใส่อีเมลจาก Third-party เข้าไปได้ด้วย (ใส่ของแฮ็กเกอร์ได้ไง) มิหนำซ้ำวันเดือนปีเกิดยังถูกตั้ง Default ให้เรียบร้อยเป็น 1 มกราคม 2019 นั่นหมายความว่าแฮ็กเกอร์ไม่ต้องรู้วันเกิดก็ได้! (Zdnet อ้างจาก Yahoo Japan)
ทั้งนี้แฮ็กเกอร์อาจได้รับข้อมูลของคนในญี่ปุ่นผ่านมาจากเหตุการณ์รั่วไหลที่เกิดขึ้นหลายต่อหลายครั้งนั่นเอง อย่างไรก็ตาม 7-Eleven ได้สั่งปิดแอปดังกล่าวไปแล้วในวันที่ 3 กรกฎาคมหลังเกิดเหตุการณ์ 1 วันและออกแถลงการณ์พร้อมชดใช้ค่าเสียหายแก่ผู้ใช้งานที่ได้รับผลกระทบกว่า 900 บัญชีเป็นความเสียหายถึง 55 ล้านเยน ทั้งนี้มีรายงานจากสื่อท้องถิ่นว่าตำรวจเข้าจับชายชาวจีน 2 รายที่พยายามซื้อของจาก 7-Eleven โดยใช้บัญชีของผู้อื่นแต่ยังไม่สามารถสรุปได้ว่าเกี่ยวกับเหตุการณ์นี้หรือไม่
บ้านเราเองก็มีบัญชีจ่ายเงินบนมือถือเยอะอยู่นะครับที่สำคัญช่วยกันตรวจสอบด้วยว่าข้อมูลที่ขอจำเป็นหรือไม่ปลอดภัยแค่ไหน หากคนร้ายได้ไปจะกระทบกับเราในส่วนไหนบ้างด้วยความปรารถนาดีครับ..
ที่มา : https://www.zdnet.com/article/7-eleven-japanese-customers-lose-500000-due-to-mobile-app-flaw/
