ผู้ใช้แอป 7-Eleven ของญี่ปุ่นสูญเงินกว่า 15 ล้านบาทหลังถูก Hijack บัญชีเพราะขั้นตอนรีเซ็ตรหัสผ่านอ่อนแอ

มีเหตุการณ์เกิดขึ้นกับแอปพลิเคชันจ่ายเงินผ่านมือของ 7-Eleven ญี่ปุ่นที่มีการดีโซน์ขั้นตอนการขอรีเซ็ตรหัสผ่านอ่อนแอ โดยแฮ็กเกอร์ได้อาศัยจุดนี้เข้าไป Hijack บัญชีของผู้ใช้ไปกว่า 900 บัญชีและสร้างมูลค่าความเสียหายกว่า 55 ล้านเยนหรือราว 15,400,000 บาท

credit : Zdnet

เมื่อวันที่ 1 กรกฎาคมที่ผ่านมาทาง 7-Eleven ของญี่ปุ่นได้ปล่อยแอปพลิเคชันจ่ายเงินผ่านมือถือ โดยผูกบัตรเครดิตหรือเดบิตไว้กับแอปและแสดงบาร์โค้ดให้พนักงานสแกนตอนจ่ายเงินที่เค้าเตอร์ อย่างไรก็ตามหลังจากเปิดใช้งานมาได้เพียงวันเดียวก็มีผู้ใช้เริ่มพบปัญหามีการล็อกเอ้าต์บัญชีจึงได้เปิดเผยเรื่องราวทางทวิตเตอร์

โดยจากการสืบสวนก็พบว่าแฮ็กเกอร์อาศัยช่องโหว่เพื่อขอรีเซ็ตรหัสผ่านบัญชีซึ่งทำการ Hijack บัญชีได้อย่างง่ายดาย สำหรับขั้นตอนที่เป็นปัญหาคือแอปได้อนุญาตให้ใครก็ตามขอรีเซ็ตรหัสผ่านบัญชีของผู้อื่นได้พร้อมทั้งส่งลิงก์ไปที่อีเมลของคนขอแทนที่จะเป็นของเจ้าของตัวจริง ซึ่งเพียงแค่แฮ็กเกอร์ทราบอีเมลในแอป 7pay ของเหยื่อ วันเกิด และเบอร์โทร ทั้งนี้ประเด็นคือมีช่อง ‘Additional Field’ ที่สามารถใส่อีเมลจาก Third-party เข้าไปได้ด้วย (ใส่ของแฮ็กเกอร์ได้ไง) มิหนำซ้ำวันเดือนปีเกิดยังถูกตั้ง Default ให้เรียบร้อยเป็น 1 มกราคม 2019 นั่นหมายความว่าแฮ็กเกอร์ไม่ต้องรู้วันเกิดก็ได้! (Zdnet อ้างจาก Yahoo Japan)  

ทั้งนี้แฮ็กเกอร์อาจได้รับข้อมูลของคนในญี่ปุ่นผ่านมาจากเหตุการณ์รั่วไหลที่เกิดขึ้นหลายต่อหลายครั้งนั่นเอง อย่างไรก็ตาม 7-Eleven ได้สั่งปิดแอปดังกล่าวไปแล้วในวันที่ 3 กรกฎาคมหลังเกิดเหตุการณ์ 1 วันและออกแถลงการณ์พร้อมชดใช้ค่าเสียหายแก่ผู้ใช้งานที่ได้รับผลกระทบกว่า 900 บัญชีเป็นความเสียหายถึง 55 ล้านเยน ทั้งนี้มีรายงานจากสื่อท้องถิ่นว่าตำรวจเข้าจับชายชาวจีน 2 รายที่พยายามซื้อของจาก 7-Eleven โดยใช้บัญชีของผู้อื่นแต่ยังไม่สามารถสรุปได้ว่าเกี่ยวกับเหตุการณ์นี้หรือไม่

บ้านเราเองก็มีบัญชีจ่ายเงินบนมือถือเยอะอยู่นะครับที่สำคัญช่วยกันตรวจสอบด้วยว่าข้อมูลที่ขอจำเป็นหรือไม่ปลอดภัยแค่ไหน หากคนร้ายได้ไปจะกระทบกับเราในส่วนไหนบ้างด้วยความปรารถนาดีครับ..

ที่มา :  https://www.zdnet.com/article/7-eleven-japanese-customers-lose-500000-due-to-mobile-app-flaw/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …