首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  程序员

7-Eleven 日本的支付服务“7pay”被盗刷 5500 万日元 居然是这样远古的代码

  •  2
     
  •   mystrylw · 76 天前 · 13503 次点击
    这是一个创建于 76 天前的主题,其中的信息可能已经有所发展或是发生改变。

    日本手机支付服务刚运营两天就出问题 900 人手机或被盗刷

    1 日,7-Eleven 日本公司开始提供通过智能手机条形码来购物的支付服务“ 7pay ”,但刚运营三天,该服务就出现问题。4 日,该公司召开紧急记者会,宣布可能有 900 名用户的手机被盗刷,累计金额达 5500 万日元(约人民币 350 万),该公司社长公开道歉,承诺将全额补偿被盗刷的用户。目前,7pay 的充值和新用户注册服务均已停止。

    引用「 Yuee 」的解释:

    被盗刷的原因是这样的

    1.这个系统用邮箱作为账号

    2.找回密码只需要使用「生日」

    3.生日可以不填,默认为 2019 年 1 月 1 日

    4.找回密码时,填错后,没有次数限制

    5.找回的密码,可以单独填写一个邮箱接收

    只要拿邮箱,用 2019 年 1 月 1 日当生日,找回密码,总有人不改生日,于是就可以改密码了

    问题是即使碰撞了邮箱和生日也没那么容易破解用户的邮箱拿到重置邮件啊,好奇一下搜了一下,原来自己关注的推友已经转发了解释,看了让人瞠目结舌:

    引用「 @o_lll 」推文:

    https://twitter.com/o_lll/status/1146616043181187072

    7pay 重置密码时可以选择登录邮箱以外的邮箱接收密码重置链接,也就是只要知道邮箱电话和生日,这个账号就是你的了

    另外密码要求是半角小写字母加数字,并且据称重试次数无限制

    711 迅速的用 display:none 的方式修复了可以发送密码重置链接去第三方邮箱的 bug #日本 IT 令人堪忧

    被隐藏的 field 里填了别的邮箱依旧可以收到密码重置 token,7pay 这事儿可以写进教科书了

    然后还有后续精彩:

    记者会上

    记者问:“为什么 7pay 没有二次验证?”

    社长答:“二次验证是什么?”

    快要笑到窒息了…

    不过不好的是,后来逮捕了两位嫌疑人,中国籍。

    第 1 条附言  ·  76 天前
    1. 希望不要做过多推测和展开,我陈述的均是有据可循的事实,至于日本 IT 水平,中国国籍等细节问题,没有更进一步信息前也不好评价

    2. 关于很多人说的日本 IT 公司死板、流程僵硬、客户至上,推荐可以 1.5 倍速快进看一看上一季的日剧「准点下班回家」,虽然感情线一如既往的日式白开水莫名其妙,但 IT 外包公司的工作和客户关系,加班态度等等还是很有代表性的。
    109 回复  |  直到 2019-07-06 20:19:26 +08:00
    1  2  
        101
    ladychili   75 天前
    这锅难道不应该是产品设计 /经理的吗?程序员接了需求只管实现就好了。
        102
    7r0y   75 天前
    结果关注点都变成逻辑漏洞了吗?
        103
    danmu17   75 天前
    @EIJAM 从他在上海的经历看来,可能有赴日做黑产的经验,所以我说的话对他而言就很可怕了。
        104
    FrankHB   75 天前
    @russian 不是说有上万个全局变量么。几百行函数算啥。
        105
    russian   75 天前
    @FrankHB 大哥,那是控制器函数,是直接跑在硬件上的,几百行的函数怎么写单元测试你说说。。。如果你明白我在说什么的话。
    上万个全局变量就太扯了。。。
        106
    FrankHB   75 天前
    @russian ==,刹车门不只是动力控制系统软件有问题,硬件实现也这么扯?
        107
    FrankHB   75 天前
    @nanau2016 Matz ?看着真的挺菜的啊……不菜抄个 Dylan 程度的出来也算了,特么搞个什么不伦不类的辣鸡……
    看看 www.atalon.cz/rb-om/ruby-object-model,能塞那么大坨意味不明的冗余破烂,人干事?
    当然,比自大的 GvR 可能好那么点吧。
    不过说到底,那是 CS 菜,不能直接栽赃到 IT 上去。
        108
    russian   75 天前
    @FrankHB 动力控制系统也是直接跑在车上的啊,几百行的函数相当于这部分根本就没有合格的单元测试。也就是说这个软件根本没测试过。。。
        109
    idcspy   75 天前
    日本总体来讲社会活力下降了,不是好事。
    1  2  
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2548 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 21ms · UTC 13:18 · PVG 21:18 · LAX 06:18 · JFK 09:18
    ♥ Do have faith in what you're doing.