Japonya’da mobil ödeme uygulamasını kullanıma açan 7-Eleven, şaşkınlık veren güvenlik açığı nedeniyle apar topar kullanıma kapandı.
7-Eleven Japonya’da kullanılan mobil ödeme sisteminde karşılaşılan bir güvenlik açığı, kısa süre içinde 900 hesaptan 530 bin dolar çalınmasına neden oldu. Yapılan araştırmalarda, mobil uygulama içinde gülünç sayılabilecek kadar vahim bir güvenlik açığının bulunduğu tespit edildi. Derhal duruma el koyan yetkililer, hata düzeltilinceye kadar mobil ödeme işlemlerini askıya aldılar. Yapılan resmi açıklamada, hatanın en kısa süre içinde düzeltileceği, tüm tüketicilerin uğradıkları zararın kuruşu kuruşuna ödeneceği bilgisi verildi.
Uygulamadaki güvenlik açığı şaşkına çevirdi
Japon hükümetinin nakitsiz ödeme sistemine uyum konusunda attığı adımlar çerçevesinde, tüm perakende işlemlerinin yüzde 40 oranında dijital kanallar üzerinden gerçekleşmesi hedefleniyor. Bu hedef doğrultusunda ilerleyen 7-Eleven şirketi, mobil ödeme uygulamasını Japonya’da kullanıma açtı. Uygulama ile QR kod üzerinden hızlı ödeme yapılabiliyor. Tüketiciler, uygulamayla eşleştirdikleri kredi ya da banka kartları ile ödeme işlemlerini sorunsuzca gerçekleştirebiliyorlar.
Gelgelelim, 7-Eleven dükkanlarında kullanılan mobil ödeme uygulamasında komik sayılacak bir güvenlik açığı keşfedildi. Şifrelerini unutan kullanıcılar için uygulanan, mail adresine “şifre sıfırlama linki” gönderilmesi sisteminde skandal bir hata olduğu fark edildi. Bu hata sayesinde, 7-Eleven mobil ödeme uygulaması kullanıcıları, şifrelerini unutmaları durumunda diledikleri mail adresine şifre sıfırlama linki gönderebiliyorlar.
Bir skandal hata da doğum tarihinde
Sorun sadece mail adresi açığı ile de bitmiyor. Uygulama üzerinden şifre sıfırlama linki gönderilmesi için e-posta adresi dışında doğum tarihi bilgisinin de girilmesi gerekiyor. Yahoo Japonya tarafından yapılan habere göre, 7-Eleven uygulamasına kayıt esnasında doğum tarihi boş bırakılırsa, otomatik olarak 1 Ocak 2019 verisi giriliyor.
Bahsini ettiğimiz bu hatayı affetmeyen kötü amaçlı yazılımcılar kolları sıvadı. Kısa süre içinde 900 kişinin mobil cüzdan hesabına erişmeyi başaran siber korsanlar, yaklaşık 530 bin dolar değerinde alışveriş gerçekleştirdi.
Kart hesaplarından eksilen meblağları fark eden 7-Eleven mobil ödeme kullanıcıları, Twitter üzerinden firmayı mesaj yağmuruna tuttular. Yaşanan bu utanç verici güvenlik hatasının ardından 7-Eleven mobil ödeme uygulaması geçici olarak kullanıma kapandı. Özür bildirisi yayımlayan şirket, saldırı nedeniyle maddi kayıp yaşayan tüm müşterilere geri ödeme sözü verdi.