Aproximadamente 900 clientes de 7-Eleven Japón han perdido un total de 55 millones de yenes (sobre 450,000 euros) porque los hackers secuestraran sus cuentas de la aplicación 7pay y sacasen dinero en su nombre.

El incidente fue causado por un inconcebible fallo de seguridad en el diseño de la aplicación de pago móvil 7pay de la compañía, que 7-Eleven Japan lanzó en el país el lunes 1 de julio y que, por ahora está suspendida sine die.

La aplicación para móviles 7pay fue diseñada para mostrar un código de barras en la pantalla del teléfono cuando los clientes llegan a las ventanillas de los cajeros de 7-Eleven. El cajero escanea el código de barras, y el precio de los productos comprados se carga a la aplicación 7pay del usuario e, inmediatamente, a las tarjetas de crédito o débito del cliente que se han añadido a la cuenta.

Sin embargo, en un sorprendente giro, la aplicación contenía una función de restablecimiento de contraseña que estaba increíblemente mal diseñada. Permite a cualquier persona solicitar un restablecimiento de contraseña para las cuentas de otras personas, pero el enlace de restablecimiento de contraseña se envía a su dirección de correo electrónico, en lugar de al móvil del propietario legítimo de la cuenta.

El hacker sólo necesita saber la dirección de correo electrónico de un usuario de 7pay y su número de teléfono. Un campo adicional en la sección de restablecimiento de contraseña permitía al hacker solicitar que el enlace de restablecimiento de contraseña se enviara a una dirección de correo electrónico (bajo el control del hacker).

El colmo es que si el usuario no introducía su fecha de nacimiento, la aplicación utilizaría un valor predeterminado del 1 de enero de 2019, lo que facilitaría aún más los ataques.

Con todos los datos que los usuarios japoneses publican en Internet, un hacker sólo tenía que compilarlos (emparejando números de teléfono con direcciones de correo electrónico) y automatizar un ataque.

Y así lo hicieron.

LEAVE A REPLY

Please enter your comment!
Please enter your name here