日本的7-11,好不容易選在7月1日這天,跟全家便利商店,同時宣布推出自家的QR Code行動支付系統 。在推出的記者會,兩大陣營的社長意氣風發地表示,這套系統將可以有效簡化消費者在超商結帳的時間與過程,更可以把這項服務擴大運用到網路電商的結算。

聽起來,行動支付不但走在時代的尖端,也可以讓超商透過大數據有效掌握客戶的需求,提供更符合消費者需求的服務,對於面臨人手不足危機的超商來說,無疑是救世主降臨。但沒想到卻被來自中國的詐騙集團突破防線,不僅會員的個資被盜用,甚至還被使出五鬼搬運法,4天的時間被偷走了3千多萬日圓。

7pay(セブンペイ)一上架就被來自中國的網路駭客鎖定入侵,駭客利用日本7-11的網路漏洞,先盜用會員個資,再透過遠端遙控充值,讓車手使用假冒的帳號,到便利商店購買高價商品變賣。根據日本金融廳要求7pay公司調查的結果, 7月17日公布最新結果指出,至7月11日為止有將近1500人的帳號被盜用,損失金額超過3,500萬日圓。

不過,最令日本媒體不解的事情,當7pay的社長小林強,代表公司出面說明對消費者致歉的時候,在記者的詢問之下,不只是對於網路雙重認證系統一問三不知,甚至還把金融機構常用的手機簡訊認證系統(SMS),誤以為是在詢問社群媒體的SNS,這些荒腔走板的表現,也讓人好奇,到底7pay出了什麼問題?

住在東京的藤川大祐, 7月1日就下載了7pay,也把所有的付款設定都設定完成,他是這麼想的,反正每次早上進辦公室前都會到小七買早餐,有了 7pay不但可以集點數付款也方便。結果7月3日一早,他還睡眼惺忪就看到手機傳了一封加值30,000日圓成功的郵件,立刻把他嚇醒:「剛才明明在睡覺,我又是一個人住,怎麼會沒事去加值?」

就在藤川還在納悶的當下,手機郵件又持續傳了加值成功訊息,3分鐘內,藤川的7pay就被「自動」加值75,000日圓,藤川發現狀況不對,立刻打電話到客服中心中止7pay帳號,這75,000日圓才沒有被盜用。

但是其他人就沒那麼幸運了,詐騙集團趁著一早大部分人還沒有睡醒的時候,先盜用7pay帳號利用內部加值機制幫帳號裡的7pay加值,之後再用新的手機登入,透過微信讓車手拿著新手機上的QR code購買高價的電子煙商品,轉賣變現。而且經過10幾天的調查,日本警方不但逮捕了負責盜用帳號的車手,也找到在7-11內部打工的中國留學生,她被懷疑有內應的嫌疑。

為什麼帳號那麼簡單就被盜用?這一次7pay為了提高使用意願,讓原本已經在網路上登記過的 7-11網路會員,也可以使用原有帳密加入7pay ,因為這些會員帳密的系統管理不夠謹慎,資料老早外洩。只是當時這些帳密並沒有太高的利用價值,也就相安無事。當這些帳密與7pay可以互通之後,就有了可以換現的「利用」價值,再加上7pay在變更密碼與郵箱程序上,又太過自信(疏忽),沒把一般銀行行之有年的手機簡訊認證系統( SMS ),設計為系統雙重認證機制,使得詐騙集團剛好有一個大漏洞可以鑽,狠狠給日本行動支付系統,打了一個結結實實的耳光。

現在普遍認為日本 7-11 會犯下這種非常外行的錯誤,最主要是因為同業之間競爭壓力。原本日本7-11,對於日本越來越多人使用的「Line Pay」 、「PayPay」等行動支付一直置身事外。當全家便利商店宣布預計7月1日推出「FamiPay」 之後,日本7-11高層也著急起來,同時日本政府在 10月提高消費稅的同時,為了不要造成消費市場消費意願萎縮,同時推廣行動支付,於是設計了如果利用行動支付,就可以獲得2%回饋金。

這些因素讓原本對於行動支付雷打不動的7-11也只好動起來,免得會員全都流到敵方陣營,可是就因為趕著要推出上線,現在不論是全家或是羅森(LAWSON),都已積極地進行無人商店自動結帳系統的測試,為了要儘快接軌,卻忽略最基本的安全機制設計,讓日本消費者納悶行動支付的安全性真的安全嗎?

行動支付在台灣最近也是風起雲湧,從「Line Pay」以及「街口支付」的戰爭,到現在幾個零售通路像是全聯推出了「PX Pay」 、台灣全家便利商店的「My FamiPay」 以及台灣小七的「Open錢包」。台灣的行動支付系統也正式進入戰國時代,該如何才能真正的維護安全、隱私和立即性等後端管理及服務機能,同時可以掌握社群維持會員支持,都是這些支付平台所必須面臨的課題。這次日本7pay急就章所造成影響,似乎也可以成為台灣業者們的借鏡。

(編按:同一天推出手機支付服務的日本全家便利商店,雖然有消費者集中申請會員造成混亂情況,因為有導入雙重驗證,目前尚未有消費者帳戶遭盜用事件。
這起事件後續引發民眾對行動支付資安疑慮,日本政府7/9要求,未來電子支付服務商必須提交保證書,將用戶使用的設備如智慧型手機,與支付App綁定,進行身份認證,防止類似事件再發生。7pay也決定全力改善,包括未來消費者登入服務時,導入雙重驗證,調降現行每天30萬日圓儲值上限。)

責任編輯:葛林
核稿編輯:黃楸晴