Ein fataler Designfehler im Bezahldienst 7pay öffnet Angreifern 900 Kundenkonten, bis die Firma den Dienst einstellt. Schadensbilanz: eine halbe Million Euro.

Die japanische Supermarktkette 7-Eleven hat ihren Barcode-Bezahldienst 7pay nach Bekanntwerden einer schwerwiegenden Sicherheitslücke und Kundenbeschwerden über nicht autorisierte Abbuchungen vorübergehend ausgesetzt. Der Dienst war erst Anfang Juli in Japan gestartet, doch schon in den ersten Tagen hatten Nutzer illegale Transaktionen gemeldet. Derzeit geht das Unternehmen von 900 kompromittierten Nutzerkonten und einer Schadenssumme von 55 Millionen Yen (etwa 452.000 Euro) aus, berichtet ZDnet.

Passwort-Reset an beliebige E-Mail-Adresse verschickt
Die Sicherheitslücke befindet sich in der zugehörigen mobilen Bezahl-App 7pay, in der sich die Kunden registrieren und eine Kunden- oder Kreditkarte als Zahlungsmittel hinterlegen. Über die App zeigen sie an der Kasse einen Barcode vor, den der Kassierer einscannt. Das Problem sei die Funktion zum Zurücksetzen des Passworts in der App, schreibt ZDnet.Sind die E-Mail-Adresse des 7-Eleven-Kunden, sein Geburtsdatum und seine Telefonnummer bekannt, verschickt das 7pay-System einen Link zum Setzen eines neuen Passworts – und zwar optional an eine beliebige E-Mail-Adresse in einem zusätzlichen Feld.

Außenstehende mit kriminellen Absichten können über diese gravierende Design-Schwäche der App also mit relativ wenigen Informationen ein
Kundenkonto unter ihre Kontrolle bringen, indem sie den Passwort-Reset-Link an eine E-Mail-Adresse schicken lassen, die unter ihrer Kontrolle steht. Verschärfend kommt hinzu, dass die Angabe des Geburtsdatums offenbar nicht verpflichtend war und die App im Fall eines fehlenden Datums schlicht die Angabe "1.1.2019" akzeptierte, was das Übernehmen eines Kundenkontos weiter vereinfachte.

Quelle: