Klanten 7-Eleven bestolen via ontwerpfout in betaalfunctie van app

05-07-2019 | door: Redactie

Klanten 7-Eleven bestolen via ontwerpfout in betaalfunctie van app

Honderden Japanse klanten van 7-Eleven zijn bestolen omdat de mobiele app een ontwerpfout bevatte waardoor anderen hun account konden kapen.

In totaal zijn er ongeveer negenhonderd Japanse klanten bestolen, samen goed voor 55 miljoen yen (452.000 euro). Winkelketen 7-Eleven heeft het probleem inmiddels bevestigd en belooft de klanten terug te betalen.

Betaalfunctie met barcode

Het incident draait om de betaalfunctie in de 7-Eleven app die op 1 juli werd gelanceerd. Daarmee konden klanten aan de kassa een barcode tonen om hun rekening te betalen. Die barcode werd gekoppeld aan hun krediet- of debetkaart.

Maar de app had een zeer slecht ontworpen resetfunctie voor het wachtwoord. Wie voor een bepaalde account een wachtwoordreset aanvroeg, kon de link daarvoor naar ieder e-mailadres laten versturen. Wie het e-mailadres, geboortedatum en telefoonnummer van het slachtoffer kent, kon hierdoor de resetlink naar een andere mailbox laten sturen. Wie dat deed kon een account overnemen en shoppen op andermans kosten.

Benodigde gegevens eenvoudig te vinden

ZDNet.com merkt op dat de meeste van die gegevens relatief makkelijk te vinden zijn dankzij datalekken van de afgelopen jaren. Bovendien hanteerden accounts waar geen geboortedatum werd opgegeven standaard '1 januari 2019'. Hoe dergelijke ontwerpfouten niet zijn opgemerkt voor de app op de markt kwam is onduidelijk. De betaaldienst is intussen wel afgesloten.

In samenwerking met Datanews

Terug naar nieuws overzicht
Mobility