{"id":220251,"date":"2019-07-08T00:49:55","date_gmt":"2019-07-07T22:49:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=220251"},"modified":"2019-07-08T00:49:55","modified_gmt":"2019-07-07T22:49:55","slug":"japan-7-eleven-bezahldienst-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/07\/08\/japan-7-eleven-bezahldienst-gehackt\/","title":{"rendered":"Japan: 7-Eleven Bezahldienst gehackt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Bei der japanischen Supermarktkette 7-Eleven gab es eine schwere Sicherheitspanne, so dass der Anbieter das gerade gestartet 7pay mobile nach wenigen Tagen wieder stoppen musste. Schaden fast eine halbe Million Euro. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/891c94b4a59d4f7f89a30d6d13536ac3\" width=\"1\" height=\"1\"\/>7-Eleven ist eine japanischen Supermarktkette, und weil Japaner modern sind, haben die Anfang Juli 2019 einen Bezahldienst 7pay eingef\u00fchrt. Dieser war Barcode-gest\u00fctzt und erlaubte \u00fcber eine Smartphone-App Bezahlvorg\u00e4nge auszuf\u00fchren. Wenige Tage nach dem Start des Bezahldiensts h\u00e4uften sich die Meldungen von Kunden \u00fcber unautorisierte Bezahlvorg\u00e4nge. <\/p>\n<p>Hackern war es gelungen, 900 Benutzerkonten zu kompromittieren und 55 Millionen Yen (umgerechnet ca. 452.000 Euro) von den Opfern auszuf\u00fchren. Der Grund: Die Verwaltung der Nutzerkonten war das ganze geradezu dilettantisch implementiert. Ich hatte es vor einigen Tagen in diesem Tweet gesehen.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Hackers exploit 7-Eleven's poorly designed password reset function to steal \u00a555 million ($510,000) from 900 users of the company's 7pay mobile payments app<a href=\"https:\/\/t.co\/O7Y1J2rTFE\">https:\/\/t.co\/O7Y1J2rTFE<\/a><a href=\"https:\/\/twitter.com\/hashtag\/Tip?src=hash&amp;ref_src=twsrc%5Etfw\">#Tip<\/a> <a href=\"https:\/\/twitter.com\/Techmeme?ref_src=twsrc%5Etfw\">@techmeme<\/a> <a href=\"https:\/\/t.co\/R2CtRCwK6W\">pic.twitter.com\/R2CtRCwK6W<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1146869898339110917?ref_src=twsrc%5Etfw\">4. Juli 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>ZDNet.com hat das Ganze im verlinkten Artikel aufbereitet. Kunden mussten in der 7pay-App eine Kreditkarte (oder japanische Kundenkarte von 7Eleven) f\u00fcr die Bezahlung der K\u00e4ufe angeben. Bei Eink\u00e4ufen reichte zum Bezahlen an der Kasse nur die App auf dem Display des Handys aufzurufen. Der Kassierer scannte einen Barcode auf dem Display, und schon lief der Bezahlvorgang. <\/p>\n<p>Problem war aber, dass auf den Registrierungsseiten f\u00fcr die Kundenkonten jede beliebige E-Mail-Adresse und ggf. ein Geburtsdatum 1.1.2019 f\u00fcr das Zur\u00fccksetzen des Passworts akzeptiert wurde. Das hatten Cyber-Kriminelle wohl schnell erkannt und so die Kundenkonten von 900 Opfern entf\u00fchrt. Fortan konnten Sie \u00fcber das \u00fcbernommene Kundenkonto Eink\u00e4ufe auf fremde Rechnung t\u00e4tigen. <\/p>\n<p>7-Eleven hat jetzt den 7pay-Bezahldienst deaktiviert und will den betroffenen Kunden den Schaden ersetzen. Bei Interesse, heise hat die Infos von ZDNet in <a href=\"https:\/\/www.heise.de\/security\/meldung\/Schwere-Sicherheitsluecke-Japanische-Supermarktkette-7-Eleven-stoppt-Bezahl-App-4464737.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem deutschsprachigen Artikel<\/a> aufbereitet. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bei der japanischen Supermarktkette 7-Eleven gab es eine schwere Sicherheitspanne, so dass der Anbieter das gerade gestartet 7pay mobile nach wenigen Tagen wieder stoppen musste. Schaden fast eine halbe Million Euro.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-220251","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220251","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=220251"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220251\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=220251"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=220251"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=220251"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}