Schwere Sicherheitslücke: Japanische Supermarktkette 7-Eleven stoppt Bezahl-App
Ein fataler Designfehler im Bezahldienst 7pay öffnet Angreifern 900 Kundenkonten, bis die Firma den Dienst einstellt. Schadensbilanz: eine halbe Million Euro.
Startseite des 7pay-Dienstes mit dem Hinweis auf einen derzeitigen Stopp des Bezahlsystems.
(Bild: sej.co.jp)
Die japanische Supermarktkette 7-Eleven hat ihren Barcode-Bezahldienst 7pay nach Bekanntwerden einer schwerwiegenden Sicherheitslücke und Kundenbeschwerden über nicht autorisierte Abbuchungen vorübergehend ausgesetzt. Der Dienst war erst Anfang Juli in Japan gestartet, doch schon in den ersten Tagen hatten Nutzer illegale Transaktionen gemeldet. Derzeit geht das Unternehmen von 900 kompromittierten Nutzerkonten und einer Schadenssumme von 55 Millionen Yen (etwa 452.000 Euro) aus, berichtet ZDnet.
Passwort-Reset an beliebige E-Mail-Adresse verschickt
Die Sicherheitslücke befindet sich in der zugehörigen mobilen Bezahl-App 7pay, in der sich die Kunden registrieren und eine Kunden- oder Kreditkarte als Zahlungsmittel hinterlegen. Über die App zeigen sie an der Kasse einen Barcode vor, den der Kassierer einscannt. Das Problem sei die Funktion zum Zurücksetzen des Passworts in der App, schreibt ZDnet. Sind die E-Mail-Adresse des 7-Eleven-Kunden, sein Geburtsdatum und seine Telefonnummer bekannt, verschickt das 7pay-System einen Link zum Setzen eines neuen Passworts – und zwar optional an eine beliebige E-Mail-Adresse in einem zusätzlichen Feld.
Außenstehende mit kriminellen Absichten können über diese gravierende Design-Schwäche der App also mit relativ wenigen Informationen ein Kundenkonto unter ihre Kontrolle bringen, indem sie den Passwort-Reset-Link an eine E-Mail-Adresse schicken lassen, die unter ihrer Kontrolle steht. Verschärfend kommt hinzu, dass die Angabe des Geburtsdatums offenbar nicht verpflichtend war und die App im Fall eines fehlenden Datums schlicht die Angabe "1.1.2019" akzeptierte, was das Übernehmen eines Kundenkontos weiter vereinfachte.
Bei kontaktlosen Kredit- und Bankkarten muss man bei Zahlungen bis 25 Euro keine PIN eingeben. c't ist mit einem 29-Euro-Terminal auf Diebestour gegangen.
Unternehmen will Schaden ersetzen
Das Unternehmen reagierte auf die Nutzerbeschwerden und schaltete den Dienst am 3. Juli ab. In einer Pressemitteilung am Tag darauf nannte 7-Eleven die Zahl von 900 kompromittierten Konten und die Schadenssumme von 55 Millionen Yen. Allen betroffenen Kunden will das Unternehmen den entstandenen Schaden ersetzen.
Wie ZDnet weiter schreibt, seien am 4. Juli zwei junge Chinesen in Tokyo verhaftet worden, als sie versuchten, Zigaretten über das 7pay-Konto einer anderen Person zu bezahlen. Ob die beiden auch für das Kompromittieren weiterer Kundenkonten verantwortlich sind, war zunächst nicht bekannt. (tiw)
