Soucieuse de suivre le train des paiements mobiles, la division japonaise de 7-Eleven a récemment lancé 7Pay pour les clients à la recherche d’un moyen simple et rapide d’acquérir des articles en magasin.
Mais quelques jours seulement après la mise en service du système au début de la semaine dernière, un certain nombre de clients ont commencé à se plaindre d’être facturés pour des articles qu’ils n’avaient pas achetés.
La société a maintenant suspendu l’utilisation de son service de paiement mobile pendant qu’elle enquête sur les procédures de sécurité de 7Pay ou sur leur absence. Dans un communiqué publié à la fin de la semaine dernière, 7-Eleven a reconnu que des pirates informatiques avaient accédé à l’application et effectué de fausses transactions pour un montant de 506.000 dollars, touchant 900 clients.
Samedi, le Japan Times a annoncé l’arrestation de deux Chinois susceptibles d’être liés au piratage, l’un d’eux étant soupçonné de tentative de fraude après avoir payé 730.000 yens (environ 6 750 dollars) pour acheter près de 150 cartouches de cigarettes électroniques dans un magasin de 7-Eleven à Tokyo, prétendument en utilisant des cartes d’identité volées.
7Pay fonctionne à l’aide d’un code à barres apparaissant sur le smartphone du client et analysé par un caissier pour en facturer le coût à la carte de débit ou de crédit associée du client.
Selon un rapport de ZDNet, l’application était si mal conçue qu’elle permettait à quiconque connaissant l’adresse e-mail, la date de naissance et le numéro de téléphone d’un client de prendre en charge un compte.
Pour ce faire, le pirate informatique a utilisé les données pour réinitialiser le mot de passe d’un compte, le lien de réinitialisation pouvant être envoyé à son adresse e-mail à la place de celle du propriétaire du compte. Le pirate informatique pourrait alors prendre le contrôle du compte.
Il est suggéré que les pirates informatiques automatisent l’attaque en utilisant les informations recueillies lors de précédentes violations de la sécurité en ligne ciblant des bases de données japonaises.
La facilité alarmante avec laquelle les pirates informatiques ont pu exploiter 7Pay a incité le gouvernement japonais à s’impliquer, le ministère de l’Économie, du Commerce et de l’Industrie accusant 7-Eleven de ne pas avoir respecté les directives empêchant un tel accès non autorisé. La société, qui exploite plus de 20 000 magasins au Japon, a présenté ses excuses pour cet incident et promis de rembourser intégralement les sinistrés.
L’incident de 7Pay évoque une autre violation de paiement mobile il y a plusieurs années, lorsque le système CurrentC, aujourd’hui disparu, a été ciblé par des pirates informatiques au cours de sa phase de test. Que 7Pay soit ressuscité avec une sécurité bien améliorée ou finisse par suivre le même chemin que CurrentC reste à déterminer.
