7月1日,日本柒和伊控股公司开始提供通过智能手机条形码来购物的支付服务“ 7pay ”,但刚运营三天,该移动支付服务就出现重大系统安全问题。4 日,日本柒和伊控股公司召开紧急记者会,宣布可能有 900 名用户的手机被盗刷,累计金额达 5500 万日元(约人民币 350 万),日本柒和伊控股公司社长公开道歉,承诺将全额补偿被盗刷的用户。目前,7pay 的充值和新用户注册服务均已停止。
与此相关,东京警视厅新宿警署4日以涉嫌诈骗未遂逮捕了2名中国籍男子。被捕的是住处及职业不详的张升(22岁)等2人。他们涉嫌在东京都新宿区的7-Eleven门店冒用东京都内一名四十多岁男性的账户和密码试图购买40条电子烟烟弹(共计20万日元)。
由此,中国与日本两国媒体关注点,就将大部分目光集中这两名“中国籍盗刷者”的身份上,没有人扒一扒被7pay支付系统深层次问题核心
1.这个7pay系统用邮箱作为账号;
2.找回密码只需要使用“生日”
3.生日可以不填,默认为 2019 年 1 月 1 日
4.找回密码时,生日填错后,没有次数限制
5.找回的密码,可以单独填写另外一个邮箱接收密码
直接一点说,你只要拿注册7pay邮箱账号,然后用 2019 年 1 月 1 日当生日,找回密码,总有人不改生日,于是就可以改密码了。问题是即使碰撞了邮箱和生日也没那么容易破解用户的邮箱拿到重置邮件啊
7pay 重置密码时可以选择登录邮箱以外的邮箱接收密码重置链接,也就是只要知道邮箱电话和生日,这个账号就是你的了
另外,登陆密码要求是半角小写字母加数字,并且据称重试次数无限制
日本柒和伊控股公司迅速的用 display:none 的方式修复了可以发送密码重置链接去第三方邮箱的 bug #日本 IT 令人堪忧
被隐藏的 field 里填了别的邮箱依旧可以收到密码重置 token,7pay 这种史诗级别的BUG可以写进教科书了。
7月4日,日本柒和伊控股公司社长小林強在记者会上公开道歉,承诺将全额补偿被盗刷的用户。
在记者会上,记者问到:“为什么 7pay 没有二次验证?”
日本柒和伊控股公司社长小林強回答:"二次验证是什么?"
紧急记者会上,场面顿时超级尴尬。
IT工程师hoyixi:日本好像很多公司的 IT 业务都是外包的, 而且存在层层转包。在外包公司,不少管理人员和有权利的中层,恐怕都是管人和搞关系的,没几个懂技术,甚至不懂业务。最拿手的就是派活和听汇报吧,下面干活的,多一事不如少一事,就算知道有 bug,照做自己不用担责,擅自做主可能会担责,所以,换成我,我也做完分配的任务拉倒。
IT工程师wenzhoou:我做了多年金融项目。我是上次日本罗森某卡被盗事件善后者。那个项目之前出了三次要上报日本金融厅基本的问题我也是都参与了。N 社的信用卡认证系统我也做了(和这次的事件无关的项目)。说实话这种事情真不赖程序员。为什么?因为日本人傲慢。弱小和无知不是生存的障碍,傲慢才是。任你怎么告诉他这样有问题,他就一句话,你就照这个做就好了,意思是我给钱叫你做什么你就做什么别瞎逼逼。日本人管这个叫做式样通り。式样大部分是日本人写的,编码工作只占总流程的 10 分之一,单体测试占总流程的 10 分之一。大部分中国公司只能拿到这些菜。
| 留言与评论(共有 0 条评论) |
