Akun Aplikasi 7-Eleven Dibajak, Konsumen Rugi Rp 7 Miliar
7-Eleven Jepang
Tokyo, Cyberthreat.id - Hanya dalam tempo 1 hari setelah diluncurkan, aplikasi mobile payment 7-Eleven Jepang telah menyebabkan kerugian pada konsumen. Sebanyak 900 akun pengguna aplikasi bernama 7pay itu dibajak hacker dan pembayaran ditagihkan ke rekening mereka. Total kerugian mencapai $510.000 (Rp 7 miliar lebih).
Aplikasi 7pay didesain untuk memunculkan barcode di layar handphone saat konsumen berada di konter kasir 7-Eleven. Kasir memindai barcode dan biaya pembelian barang ditagihkan kepada pengguna aplikasi dan pembayaran dicatatkan di kartu kredit atau debit pengguna yang disimpan dalam akun aplikasi tersebut. Masalahnya, 7pay punya fungsi reset password yang buruk. Fungsi ini memungkinkan setiap orang meminta reset password untuk akun orang lain. Password baru dikirimkan kepada email peminta reset, bukan email pemilik akun yang sah, begitu tulis news.yahoo.co.jp pada 5 Juli.
Hacker hanya perlu tahu alamat email pengguna 7pay, tanggal lahir, dan nomor handphone. Adanya input tambahan alamat email lain di reset password itu memungkinkan hacker mengirimkan password baru ke emailnya sendiri. Hacker tidak perlu masuk ke kode aplikasi atau memanipulasi HTTP request, seperti peretasan umumnya. Yang membuat reset password menjadi lebih mudah, pengguna tidak perlu memasukkan tanggal lahir karena aplikasi akan memakai 1 januari 2019 sebagai tanggal default jika input tanggal lahir kosong.
Peretasan ini diketahui setelah banyak pengguna 7pay mencuitkan keluhannya di Twitter sehari setelah aplikasi itu diluncurkan. 7-Eleven langsung menonaktifkan aplikasinya pada 3 Juli. Dalam rilis resminya 5 Juli, 7-Eleven mengakui bahwa dalam 2 hari, hacker telah membobol 900 akun 7pay dan membuat pembayaran ilegal sebesar $510.000. Perusahaan tersebut berjanji akan membayar kerugian konsumen akibat peretasan itu.
Pada 5 Juli juga, pihak kepolisian Tokyo dikabarkan menangkap 2 warga China yang mencoba membeli rokok menggunakan akun 7pay orang lain. Namun belum dipastikan apakah mereka merupakan orang yang membajak ratusan akun 7pay.
