新闻资讯  快讯  焦点  财经  政策  社会
互 联 网   电商  金融  数据  计算  技巧
生活百科  科技  职场  健康  法律  汽车
手机百科  知识  软件  修理  测评  微信
软件技术  应用  系统  图像  视频  经验
硬件技术  知识  技术  测评  选购  维修
网络技术  硬件  软件  设置  安全  技术
程序开发  语言  移动  数据  开源  百科
安全防护  资讯  黑客  木马  病毒  移动
站长技术  搜索  SEO  推广  媒体  移动
财经百科  股票  知识  理财  财务  金融
教育考试  育儿  小学  高考  考研  留学
您当前的位置:首页 > IT百科 > 软件技术 > 操作系统 > windows

时间:2020-06-29 19:46:57  来源:  作者:

在国内移动支付盛行的时候隔壁日本也在推行这种支付方式,国内目前线下最常用的是支付宝以及微信支付。

而在日本并没有市场占有率非常大的移动支付方式,即便是苹果的Apple Pay 在日本的使用率也没有那么高。

于是现在的情况是日本部分大型公司各自推出自己的移动支付,不管是互联网公司还是实业公司都在这么干。

上线就出现严重安全事故:

线下便利店连锁集团 7-11 在日前推出名为7Pay的移动支付产品,该集团也希望能在日本移动支付市场分羹。

这款移动支付产品与国内的支付宝以及微信支付基本相同,需要付款时出示付款码给店员扫码即可完成支付。

但仅在次日该支付方式就被发现存在严重安全事故,有不少注册绑定银行卡的用户未购物的情况下遭到扣款。

随后该集团确认存在安全漏洞并宣布暂停7Pay支付,同时高管出来道歉并表示将为所有被盗刷用户进行赔偿。

奇葩的安全验证逻辑:

出现盗刷的主要原因是7Pay被发现竟然可以使用非用户的注册邮箱重置密码,也就是可以重置任意用户密码。

其产品设计逻辑是当用户填写姓名和生日以及邮箱即可重置密码,但缺少必要的验证导致任意邮箱均可重置。

至于生日方面如果用户没有主动更改自己的生日,那么系统默认的生日是 2019年1月1日 所以更容易被重置。

简单来说攻击者只需要输入用户姓名加上默认的生日,然后就可以大规模重置用户的账号密码然后发起支付。

7-11高管:两步验证是什么东西?

在被爆出安全事故后该集团已经立即暂停支付产品的使用,同时高管召开新闻发布会道歉并接受媒体的采访。

在新闻发布会上有记者问称为什么该支付产品未部署两步验证,如果有两步验证攻击者也无法登录用户账户。

不过7-11 集团高管反问记者两步验证是什么东西?显然这个全球性的便利店连锁集团在 IT 方面的能力不足。

反观整个事件主要是其支付产品的开发存在巨大问题,没有校验邮箱、没有两步验证、还把生日当关键验证。

然而更大的问题在于漏洞修复上:

在用户发现盗刷后 7-11 目前已经暂停支付产品的使用,同时该集团公司也在着手对漏洞进行修复以便恢复。

然而这家公司的漏洞修复方式让人哭笑不得:在网页上把通过邮箱输入框隐藏起来。以为这样也就算是修复。

也就说只要通过浏览器的F12 开发者工具将样式表的隐藏代码手动删除,就可继续重置其他用户的账号密码。

说难听点这就相当于是把脑袋塞在沙子里然后还大叫一声“你看不见我”,这种修复方式无疑让人感到担心。

日本有开发者进行测试后确认当前仍然可以通过任意邮箱重置用户的密码,简单来说就是漏洞压根没有修复。

7-11这个小机灵鬼:1秒修复漏洞(图片来自8764N)



Tags:   点击:()  评论:()
声明:本站部分内容来自互联网,内容观点仅代表作者本人,如有任何版权侵犯请与我们联系,我们将立即删除。
▌相关评论
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
▌相关推荐
近些年来全球物联网设备都出现过重大的安全问题,物联网设备通常推出后就很少更新固件因此存在漏洞等。...【详细内容】
2020-06-29     点击:(0)  评论:(0)  加入收藏
据ePrice报道,久未发布新机的HTC今天(6月16日)在中国台湾正式发布了旗下首款5G手机——HTC U20。该机配备一块6.8英寸大屏幕,搭载骁龙765G处理器,支持双模5G网络,配备5000mAh电池,也是台湾首款...【详细内容】
2020-06-29     点击:(1)  评论:(0)  加入收藏
据匈牙利官方新冠疫情信息网站消息,截至当地时间26日,匈牙利新冠肺炎病例累计确诊261例,死亡病例10例,痊愈28例。...【详细内容】
2020-06-29     点击:(1)  评论:(0)  加入收藏
在国内移动支付盛行的时候隔壁日本也在推行这种支付方式,国内目前线下最常用的是支付宝以及微信支付。...【详细内容】
2020-06-29     点击:(2)  评论:(0)  加入收藏
6月3日下午,荣耀正式发布了荣耀Play4系列手机,包括Play4、Play4 Pro两款新机。其中,荣耀Play4 Pro搭载了麒麟990芯片,标配8GB+128GB内存版本,提供了幻夜黑、机甲蓝两种配色,除了标准版还有红外...【详细内容】
2020-06-29     点击:(1)  评论:(0)  加入收藏
(记者艾红霞、通讯员乔欣荣、沈商轩)积极应对疫情影响,扩大国际市场。3月24日,我省商务部门联合金融机构,发布支持医疗防护用品和农产品扩大出口的21条新措施。...【详细内容】
2020-06-29     点击:(1)  评论:(0)  加入收藏
6月2日,@荣耀手机 公布了荣耀30系列的“618”战报:截止6月1日23:59,荣耀30系列斩获了全平台3000元-5000元价位段5G手机销量冠军!根据官方信息,荣耀30系列在3000元到5000元之间是最受欢迎的5G手机...【详细内容】
2020-06-29     点击:(2)  评论:(0)  加入收藏
作为中日科技创新合作重要内容之一、日本与亚洲青少年科技交流计划(樱花科技计划)主要内容之一,中日青少年科技交流计划有效推动中日科技人文交流与合作,增进中日科技界沟通与理解。经中国科技部国际合作司与日本科技振...【详细内容】
2020-06-29     点击:(2)  评论:(0)  加入收藏
6月2日,跑分软件安兔兔公布了2020年5月Android旗舰手机性能榜单,榜单中包括旗舰机榜单和中端机榜单。虽然总有人说每个品牌的旗舰手机之间性能差距不大,也不会影响使用。但是,不管手机性能差距明...【详细内容】
2020-06-29     点击:(3)  评论:(0)  加入收藏
据《欧洲时报》报道,法国新冠疫情持续蔓延,许多中国留学生深受影响,日前,记者采访四名留学生,分别讲述了他们在异乡的抗疫经历。马克龙12日宣布全法封校后,和爸妈商量过的小金也并没有第一时间买机票回国。...【详细内容】
2020-06-29     点击:(2)  评论:(0)  加入收藏
日前有开发者向谷歌浏览器提交有关信用卡扫描器的代码,这个功能实际上就是用来方便用户扫描识别卡号。...【详细内容】
2020-06-29     点击:(2)  评论:(0)  加入收藏
据外媒报道,6月8日,OPPO A12正式在印度上市。报道称,OPPO A12并不是一款新设备,该机早于四月份发布,不过现在才刚刚上市。OPPO A12配置上,OPPO A12配备一块6.22英寸HD+显示屏,分辨率为720×15...【详细内容】
2020-06-29     点击:(3)  评论:(0)  加入收藏
据内蒙古自治区卫健委官方微信消息,2020年3月26日7时至27日7时,内蒙古自治区报告新增境外输入新冠肺炎确诊病例3例、疑似病例6例。截至2020年3月27日7时,内蒙古自治区累计报告境外输入新冠肺炎确诊病例17例、疑似病例11...【详细内容】
2020-06-29     点击:(2)  评论:(0)  加入收藏
国内知名的免费DNS服务商CloudXNS日前发布公告称将在2019年7月16日0时 起停止向免费用户提供服务。...【详细内容】
2020-06-29     点击:(1)  评论:(0)  加入收藏
6月13日,坐落于沈阳中街商业区荣耀Life沈阳店正式开业,潮流的门店,智能新潮的产品,很快就吸引了大批人流驻足。荣耀Life沈阳店与其他门店不同,这是荣耀在5月18日提出“生活与你一起升级”理念之...【详细内容】
2020-06-29     点击:(4)  评论:(0)  加入收藏
(记者张梦然)英国《自然》杂志26日发表一项医学与人工智能(AI)研究,科学家报告一种机器学习方法能鉴别出早期肺癌患者。这一方法利用人工智能与优化的测序方法,可以检测血样中的肿瘤源性DNA(即液体活检),未来将有助于增加高危...【详细内容】
2020-06-29     点击:(1)  评论:(0)  加入收藏
下午,应勇先后来到武汉经济技术开发区、武汉临空港经济技术开发区,详细了解开发区规划建设、产业发展、疫情防控、复工复产等情况。应勇指出,武汉经济技术开发区要加快制造业转型升级,更好发挥龙头企业作用,促进制造业与生...【详细内容】
2020-06-29     点击:(1)  评论:(0)  加入收藏
关于华为Mate40系列手机的消息相信大家已经看过不少,网上爆料称该机后置摄像头依然采用圆形设计,不过摄像头变多了,由以前的4枚变为了5枚,摄像头旁边是闪光灯。6月11日,微博博主@数码闲聊站&nbs...【详细内容】
2020-06-29     点击:(4)  评论:(0)  加入收藏
谷歌旗下安全团队日前再次公布Windows 10未修复的安全漏洞 ,  这个漏洞可导致服务器出现拒绝服务问题。...【详细内容】
2020-06-29     点击:(2)  评论:(0)  加入收藏
全市各区县也主动作为,精准施策,加强用工、用地、资金等要素保障,多措并举加快在建和新开工项目建设进度。该县20家省、市级农业龙头企业,18家批发、住宿、零售、餐饮限额以上大个体企业以及28家物流快递企业复工复产。...【详细内容】
2020-06-29     点击:(3)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条