今年7月初,日本7-11风光推出移动支付服务7 Pay,然而上线不到一周便因严重安全漏洞遭黑客攻击,使近千名消费者蒙受损失,盗用近4,000万日圆。
如今官方研判问题太大无法继续运营,日本7-11母公司7&I控股在8月1日召开记者会,宣布7 Pay将于9月30日寿终正寝,结束短短3个月的服务。
推出4天就被黑,官方紧急暂停服务
日本7-11于7月1日发布7 Pay移动支付,人们可利用App在日本全国7-11进行消费,每使用200日圆即可获得1日圆点数(nanaco)反馈。这项服务始推出3天,就吸引上百万名用户注册。
然而才上线没多久,7月4日就传出许多用户帐号遭第三方盗用。7-11官方推测估计受害用户约900名,被盗用金额超过3,000万日圆。盗用事件爆发后,7-11也立即暂停申办账户与储值功能,这项支付服务可说近乎停摆。
7Pay将于9月底中止运营,目前已停止注册与储值。7-11
在后续调查中,官方发现7-11集团的公用帐号“7iD”具有严重安全漏洞,在7月11日中止外部账户的登录功能;并于30日全面重置7iD用户密码。即便如此,官方评估无法短期内修复,在8月1日召开记者会,声明结束7 Pay的服务。
7&i控股副社长后藤克弘、7&I Net Medua社长田口广人、7&I控股数字战略推进本部高级主管清水健、7 Pay营业部长奥田裕康等四人代表出席记者会,并因7 Pay引发的事件,深深向日本社会致上歉意。
遭盗用超过千万元,7-11保证补偿用户损失
7&I控股副社长后藤克弘表示,截至7月31日为止,此事件受害用户累计为808人,损失金额达3,861万日圆。同时,7-11官方保证会弥补所有受害用户的损失。
上线不到一周,7 Pay就传出用户帐号遭第三方盗用,损失近4,000万日圆。目前7 Pay用户依旧可在各家7-11消耗帐号内的余额,停止服务时未使用完毕的部分,7-11也强调会全部奉还。
盗用事件发生后,7 Pay薄弱的安全防护措施立刻成为众矢之的。目前已普遍用在大多支付App的双重验证功能,7 Pay也不具备。7-11坦承,原先他们认为可通过系统监控阻止可疑交易,才为了便利性不提供双重认证功能,但事实证明安全防护远远不足。
7-11声称,经外部调查显示,本次事件极可能是受到外国黑客的密码喷洒攻击。在事件爆发前夕,登录服务器接收到上千万次错误登录要求,包括试图登录未登记帐号、输入密码错误等,并否认早前外界质疑7-11外流用户数据的可能性。
稍早前,日本警方也捕获两名利用漏洞牟利的中国籍嫌犯,两人都声称受他人指使。其中22岁男子张升透露,他在微信增至到一则帮忙买东西就能赚外快的消息,才按照指示购买大量电子烟。目前警方怀疑有大型国际犯罪组织参与其中。
对于外界为何需要到停止运营的地步,7-11则解释,验证系统有安全疑虑是已知的事实,决定中止服务并非出自经营上的判断,而是基于保护用户的考量。虽然7iD本身防护具有相当程度,然而考虑到完成7 Pay修缮需要一定时间,才做出此决定。
只是“踩刹车”,7-11将重整再出发
7 Pay本应该是推动7&i控股数字战略的服务。今年4月时,7&i控股喊出要在年内将7iD用户从1,500万增加至3,000万,串联集团内各个品牌的优惠与商品信息,进而达到促进销售、扩大客户群的目的。
虽然此次事件弄得沸沸扬扬,但7&i控股不打算改变推动数字战略的方针,也不会追究管理层的责任。在7 Pay上的滑铁卢,后藤克弘声称,对整体集团运营并没有造成太大影响,或许可以说微乎其微。
与7 Pay同日推出的FamiPay命运却大相径庭,7月底时,官方宣布用户人数突破315万。经由这次教训,7&i控股预计之后将设立更全面、连接全社的安全组织,采取与时并进的安全防护措施,同时宣称一切准备就绪后会卷土重来,不过后藤克弘也提到,将不会再以7 Pay的名义重新出发,声明7 Pay已经终结。
与7-11同为日本三大便利商店的FamilyMart,在7 Pay登场同日也推出FamiPay移动支付服务。FamiPay推出1个月来已累积315万用户,两者的命运大相径庭。