日本7-Eleven移動支付盜刷分析:嚴謹?shù)娜毡救朔噶耸裁村e?

7-Eleven誕生于美國，自伊藤洋華堂1973年引入日本之后迅速發(fā)展，時至今日已經(jīng)占領(lǐng)了日本大街小巷的各個角落。所謂7-Eleven是指本店從早上7點營業(yè)到晚上11點，在1946年這種對營業(yè)時間的改動無疑是極具創(chuàng)新的一步，被譽為揭開了便利店時代的序幕，而這次盜刷事件也來自于7-Eleven的創(chuàng)新。

日本警方偵辦案件抓了兩個中國人

7月1日，日本7-Eleven公司在自家旗下超過兩萬家便利店正式提供手機支付服務(wù)7pay。為了推廣，7-Eleven公司下了血本，其計劃在每年在發(fā)放優(yōu)惠券、現(xiàn)金返現(xiàn)等方面投入500億日元，約合人民幣31.6億，另外還有積分活動等等。

7-Eleven為7pay推出的優(yōu)惠活動

然而這項野心勃勃、可能會持續(xù)數(shù)年的推廣計劃在剛剛問世幾天就遭遇了重大打擊。7月4日，在7pay上線第四天，日本7-Eleven官方證實7pay安全系統(tǒng)被外部入侵，受害人約有900人，被盜用資金大約5500萬日元，約合人民幣350萬元。當(dāng)天下午，7pay董事長召開記者會向受害人謝罪道歉，并表示所有損失將由官方進行全額賠償。

官方表示，最大一波盜刷發(fā)生在7月3日晚間，為了避免盜刷情形繼續(xù)擴大，7pay立即停止了儲值功能，并暫停新會員用戶注冊。7-Eleven官方指出，盜刷是因為海外IP不法入侵，案件已經(jīng)交由警方調(diào)查偵辦。7月4日晚間，日本警方發(fā)布新聞，在新宿歌舞伎町逮捕了2名涉案中國人，分別是22歲的張升和25歲的王云飛（音譯）。

據(jù)媒體報道，張王兩人在7月3日晚上前往7-Eleven使用他人7pay購買了146箱電子煙煙彈，共花費73萬日元，約合人民幣4.5萬元。受害人收到不明消費記錄找到該家便利店詢問才是兩人暴露了馬腳，被警方逮捕。

張升向警方表示，自己是受他人指示，指使人通過社交軟件向其發(fā)送7pay賬戶ID和密碼，每購買一盒煙彈的報酬是300日元，約合人民幣19元。這種盜刷是不是有組織的，背后是誰在操控現(xiàn)在日本警方還在調(diào)查。

疑點重重的盜刷案件

盜刷案發(fā)生之后，立即就有了解情況的人士做出了原因分析，他們認為沒有雙重認證是7pay被盜刷的最大問題。

7pay設(shè)計有密碼丟失重置密碼的功能，在此過程中只需要填寫會員出生年月日和申辦時的郵箱即可，在填入驗證碼之后就可以使用任意郵箱重置密碼。如果該賬號已經(jīng)綁定銀行卡，在重置密碼之后并不影響銀行卡的使用，依舊可以為7pay賬戶充值。

重要的是，作為身份認證的一環(huán)，會員出生年月日可以選擇為默認的2019年1月1日，而且在重置密碼時，會員注冊郵箱并不會收到任何消息。

此次盜刷大約影響900人，被盜金額達到5500萬日元，平均每人被盜用6萬日元，約合人民幣3800元，張王兩人因為在一家7-Eleven盜刷73萬日元，約合人民幣4.5萬元購買煙彈被捕，被捕時他們手上有7-8個賬號，以8個賬號計算，每個賬號平均盜刷了超過5000元人民幣。

或許7pay賬戶在進行二維碼支付時可能沒有設(shè)置消費限額，或者消費限額設(shè)置的較高，這也許是此次盜刷金額如此龐大的原因。

7-Eleven或許發(fā)生了大規(guī)模數(shù)據(jù)泄露

雖然此次7pay賬戶被盜刷的原因已經(jīng)找到，但是依舊有不少疑點，其中最為重要的一點是：犯罪分子如何獲得7pay的賬戶？

根據(jù)7pay官方數(shù)據(jù)，其會員大約有150萬人，這個人數(shù)相比較日本1.2億人口來說是極其渺小的，如何在茫茫人海中尋找到7pay會員是個大問題，結(jié)合日本7-Eleven官方說法，盜刷是因為海外IP入侵所導(dǎo)致，我們可以大膽猜測一下，7-Eleven或許發(fā)生了會員數(shù)據(jù)泄露事件，但是現(xiàn)在并未成為關(guān)注的熱點。

如果猜測為真，這無疑將為7-Eleven的信譽帶來極其嚴重的打擊。在日本發(fā)展了46年的7-Eleven早就不是一間簡單的便利店，顧客可以在里面享受到從水電費充值，到游樂園、飛機購票等等各種服務(wù)，其涉及的業(yè)務(wù)種類繁多，對用戶的數(shù)據(jù)分析也是7-Eleven保證其多年利潤的訣竅之一。

總結(jié)

此次盜刷事件，不僅僅是7pay受到影響，事實上paypay等移動支付公司也有發(fā)生盜刷案，只是沒有這次7pay的嚴重，或許日本民眾對于移動支付的各種疑問會順勢爆發(fā)。無論如何，日本的移動支付之路注定了前路坎坷曲折。

7月5日，7pay宣布將采取引入雙重認證機制、調(diào)整單次充值上限額等舉措，將成立新的安全組織“安全對策項目”以應(yīng)對未來的安全問題。