7-Eleven: Bezahldienst gestoppt - Sicherheitslücke ruft Betrüger auf den Plan

Die japanische Combini-Kette 7-Eleven wollte ursprünglich mit einem eigenen Dienst das Bezahlen in den eigenen Märkten effizienter gestalten. Gut gedacht, schlecht umgesetzt war das Ganze allerdings: Betrüger machten sich eine gravierende Sicherheitslücke zu nutze, mit denen knapp 500.000 Euro ergaunert werden konnten.


Anfang dieses Monats wollte 7-Eleven mit einem eigenen Bezahldienst durchstarten, der es Kunden ermöglicht, den Check-Out-Prozess möglichst einfach durchzubringen. Inzwischen hat die Supermarkt-Kette den besagten Dienst gestoppt. Hintergrund ist eine gravierende Sicherheitslücke, die es Betrügern ermöglichte einen Schaden von umgerechnet etwa 500.000 Euro anzurichten. Grundlage ist hierbei die 7pay-App, mit Hilfe selbiger Kunden den Barcode von Produkten einscannen, um dann den ausstehenden Betrag mit der hinterlegten Kreditkarte zu begleichen. Das ganze System war jedoch nicht zureichend gesichert: Über die Passwort-Vergessen-Funktion konnten Betrüger mithilfe des bekannten Namen, der Telefonnummer sowie des Geburtsdatums ein neues Passwort generieren, um es dann an eine beliebige Mail-Adresse senden zu lassen. Erschwerend kommt dazu, dass die Angabe eines Geburtsdatums nicht verpflichtend war - als Standardwert zur Wiederherstellung des Passworts wurde dann der 1. Januar 2019 genutzt, sofern hier keine Angabe gemacht wurde.


Dadurch konnten die Hacker einen Schaden von etwa 500.000 Euro anrichten. Betroffene Kunden werden von 7-Eleven entschädigt, der Dienst wurde außerdem bis auf Weiteres gestopppt. Insgesamt konnten die Betrüger etwa 900 Konten übernehmen - wer dahintersteckt ist bis jetzt nicht bekannt. Zwei verdächtige Personen wurden am 4. Juli verhaftet - ihnen wird vorgeworfen zwei Großbestellungen über ein fremdes 7pay-Konto abwickeln zu wollen. Die Behörden in Japan gehen von einem global agierenden Betrügernetzwerk aus, das sich die Sicherheitslücken zu Nutze gemacht hat.

Quelle: Sumikai

Anzeige