ผู้ใช้แอป 7pay ที่เป็นบริการของ 7-Eleven ในญี่ปุ่นถูกขโมยบัญชีจนกระทั่งเสียเงินเป็นวงกว้าง รวมเหยื่อประมาณ 900 คน มูลค่าความเสียหาย 55 ล้านเยน หรือประมาณ 15 ล้านบาท จากการออกแบบระบบรีเซ็ตรหัสผ่านที่ผิดพลาด
หน้าจอรีเซ็ตรหัสผ่านของ 7pay ถามข้อมูลอีเมล, วันเกิด, และหมายเลขโทรศัพท์ แต่หลังจากนั้นกลับมีหน้าจอถามว่าต้องการให้ส่งลิงก์รีเซ็ตรหัสผ่านไปที่ใด ทำให้คนร้ายที่รู้ข้อมูลเบื้องต้นของเหยื่อสามารถขโมยบัญชีของเหยื่อได้โดยง่าย
นอกจากนั้น ผู้ใช้ที่ไม่กรอกข้อมูลวันเกิดไว้ ตัวแอป 7pay จะใช้วันเกิดเป็น 1 มกราคม 2019 เป็นค่าเริ่มต้น ทำให้กระบวนการคาดเดาข้อมูลยิ่งง่ายขึ้นไปอีก รวมถึงกระบวนการติดตั้งแอป 7pay บนโทรศัพท์เครื่องใหม่ก็ไม่มีการส่ง SMS ยืนยันความเป็นเจ้าของบัญชีอีกครั้งหนึ่ง ทำให้เมื่อคนร้ายได้รหัสผ่านไปแล้วก็สามารถเริ่มใช้จ่ายได้ทันที
ทาง 7-Eleven ญี่ปุ่นหยุดบริการ 7pay ไปแล้ว และกำลังดำเนินการคืนเงินลูกค้าที่ตกเป็นเหยื่อในเหตุการณ์ครั้งนี้
ที่มา - ZDNet, Yahoo! News