密碼重設功能不嚴謹，缺乏驗證，日本7Pay用戶遭竄改密碼並盜刷 [轉載於iThome]

7月第一天才剛推出7pay的日本7-Eleven，隔日就被民眾爆出自己的7Pay密碼遭人竄改，導致App綁定的信用卡遭人盜刷的問題，而日本網路上也有研究員指出，該系統的密碼重設與身分驗證機制不夠嚴謹。

關於日本7-Eleven「7Pay」的重設密碼功能，因其身分驗證機制不夠嚴謹，導致已有數百用戶帳戶讓人盜用進而盜刷的事件，日前7&i控股（Seven & I Holding）與7pay均已在官方網站已發出公告，並表示從7Pay上線後隔日，就陸續收到用戶反應遭人盜刷的狀況。到底該App的身分驗證設計，出現了什麼樣嚴重的問題？成為各界都很關心的問題。

關於這起事件發生的原因，已經有許多日本民眾在網路上討論。例如，在7月3日，日本一名研究員高木浩光（Hiromitsu Takagi）在Twitter上，就曾經指出7iD會員登入的相關問題。根據他的貼文，在iOS系統開啟7pay App要註冊7iD會員時，一開始的介面上會有7iD（電子郵件信箱）、區住地區、生日與性別的欄位，但是，用戶只要輸入第一項的電子郵件信箱，在沒有輸入生日等選項的情形下，依然可以執行下一步，而且，系統還會自動預設以2019年1月1日作為生日，而這樣的機制在App上的會員資料介面也有說明。同時，在該App的忘記密碼介面上，僅要求輸入生日與7iD，並可輸入任意的電子郵件信箱，來接受寄送重設密碼信。因此，最後Hiromitsu Takagi退出了7iD會員，並在原因一欄指出安全性的問題。

對於這樣的貼文內容，另一推特帳號為@j416dy的網友也回應，指出在Android版註冊時，用戶必須要設定居住地區、生日與性別，但iOS版卻是任意的。

從上述過程來看，對於這次7Pay密碼遭人竄改的事件，基本上，有兩個明顯的問題，包括註冊時的用戶生日輸入，以及重設時的電子郵件信箱輸入。

一般而言，為了確保用戶帳號安全，在會員密碼變更或重設上，應該都有相應的機制，來確保是否為本人操作。但從用戶的實際經驗來看，機制設計相當不嚴謹，例如，該系統是否沒有比對輸入的電子郵件，與7iD會員帳號的電子郵件是否相同？這種預設生日的機制，是否也降低了他人猜測的難度？更具爭議的是，重設會員密碼或註冊的過程，沒有兩階段驗證的機制，當重設輸入不同電子郵件信箱時，也沒有額外的驗證。

而且，系統上線前是否沒有經過測試也引發質疑。這種第三人可以輕易重設密碼的問題，應該在測試階段就能發現，更何況這還是發生在一個提供支付交易的App上。

在7月3日，日本研究員Hiromitsu Takagi在Twitter上，指出iOS版7Pay App的問題，包括註冊時只要輸入電子信箱，而生日、性別與居住地等項目可以不用輸入，在進入7iD會員資料介面時，則會看到用戶未輸入生日資訊，將會預設為2019年1月1日，另外，在設定寄送重設密碼信的電子信箱時，可以不同於7iD帳戶的電子信箱，而且沒有額外的驗證機制，他並實作了整個流程。（圖片來源：擷取自Hiromitsu Takagi's Twitter）

對於7Pay App的註冊流程，另一@j416dy網友也回應，指出用戶設定居住地區、生日與性別，在Android版是必須的，但iOS版卻是任意的。

若從網站的密碼重設機制來看，在7&i的OMNI7網站上，提供了用戶在忘記ID密碼時的因應方式，這裡其實分成兩種情境，一種是忘記會員ID，另一種是忘記密碼。例如，前者需要輸入會員的出生年月日、電話號碼與電子郵件信箱，就可以重新設定會員的密碼。

7&i控股已經對外發出重大公告，揭露近千7Pay會員遭盜刷

基本上，7Pay屬於「第三方支付」的電子錢包，使用前需要先加值，例如可用綁定的信用卡或Debit Card來儲值。但隨著7pay帳戶被盜用的事件傳開，讓用戶產生安全危機，因此，7&i控股也在7月4日向外界說明，並在官方網站上公布事件發生經過，以及預估的事件影響範圍。只是，對於7pay這幾日的事件應變過程，卻引發外界相當大的爭議與批評。

根據7&i控股的說明，其實在7月2日，也就是7pay上線的隔天，就已經接到關於此事件的第一次回報。在7月3日公司進行內部調查，確認發現異常行爲後，因此設置緊急客服中心，並在7pay主頁上發出公告，呼籲用戶注意帳號密碼的管理，同時，他們也立即停止了信用卡或Debit Card的轉帳儲值。

到了7月4日，在負責提供服務的7pay公司召開記者會後，也讓外界得知這次事件的更多資訊，包括：他們凍結疑似遭盜用的7pay帳號，並暫停App會員從綁定信用卡或Debit Card的轉帳儲值，以及各式儲值方式；在3日上午10點，也禁止海外IP位址登入7pay，因為他們最初發現的7pay會員遭盜刷案例都是在中國等海外。至於用戶權益損害賠償的處理，他們承諾將會補償所有受害用戶的損失。

同時，他們也揭露了事件影響範圍，在4日早上6點為止，估計遭到濫用的帳號數約900個，損失金額約5,500萬日圓（約新台幣1,600萬元），並表示將會補償所有受害用戶的損失。

關於引起外界質疑的部分，例如，該公司在3日只是提醒用戶小心保管帳號密碼避免外洩，顯然還不太清楚狀況；對於未導入兩階段驗證的質疑，該公司當時也無法回覆，後續僅指出7pay的設計導向，是以用戶體驗為優先。

由於這起事件已經影響廣大民眾支付的安全，日本經濟產業省也對這次7pay沒有遵守相關方針感到不滿，於7月5日在官方網站發出公告，嚴厲要求這類業者應遵守相關準則，防止不當濫用的行為，避免類似事件的再次發生。同日，7&i控股發布消息，將比照其他業者的支付，導入兩階段驗證，並修改儲值上限。

對於7pay這次離譜的表現，外界普遍認為該公司可能為了市場競爭，急於將服務推出上線，卻導致基本的安全機制設計都疏忽。但這不僅造成了實質損失，引起軒然大波，並讓消費者對他們失去信心，對於全球支付業者而言，更應引以為戒。

無論如何，關於這次事件在短短兩三天內，就傳出數百起受害案例，這也再次提醒大眾，由於近年個資外洩的情況相當嚴重，而這些外洩的資訊可能就包含用戶的生日、電話與電子郵件，也就是說，駭客集團要取得這些資訊其實並不難。

在7月4日，7&i控股（Seven & I Holding）已在官方網站發出對此事件的公告，公布事件發生經過與處置動作，以及預估的事件影響範圍。

在7月5日，日本經濟產業省也對這次7pay沒有遵守相關方針感到不滿，於7月5日在官方網站發出公告，嚴厲要求這類業者應遵守相關準則，防止不當濫用的行為，避免類似事件的再次發生。