Hackean app de pagos de 7-Eleven; 500 mil dólares robados

Acorde a especialistas en seguridad de aplicaciones web, 7-Eleven Japón decidió suspender la función de pago móvil recientemente implementada para la app 7Pay después de que un tercero explotara una vulnerabilidad para realizar cargos fraudulentos, afectando a cientos de clientes.

La función de pagos móviles apenas había sido lanzada el pasado lunes 1º de julio y permitía a los usuarios escanear un código de barras con la app para realizar los pagos con la tarjeta vinculada a la aplicación. Unas horas después de su lanzamiento, la compañía comenzó a recibir reportes sobre cargos no autorizados.

Una vulnerabilidad en la app fue explotada por hackers aún no identificados; acorde a los expertos en seguridad de aplicaciones web, los actores de amenazas sólo necesitaban saber la fecha de nacimiento de las víctimas, su dirección email y número telefónico. El ataque consistía en enviar una solicitud de restablecimiento de contraseña, que sería recibida en una dirección email controlada por los hackers.

Los hackers idearon una forma de automatizar cientos de solicitudes de restablecimiento de contraseña para comprometer casi mil cuentas, lo que significó un fraude de alrededor de 55 millones de yuanes (500 mil dólares). 

A través de su sitio web, la compañía informó que la función vulnerable fue suspendida y por el momento no es posible registrarse como nuevo usuario de 7Pay. Los usuarios que han reportado el hackeo de sus cuentas serán compensados por 7-Eleven, además la compañía implementó una línea especial de soporte para atender las dudas de los usuarios preocupados por el estado de la seguridad de sus datos.

Las autoridades reguladoras en materia financiera y de protección de datos de Japón ya habían recomendado a la compañía reforzar los puntos más débiles de su infraestructura de TI en el pasado, aunque al parecer la compañía no siguió las recomendaciones hechas por el gobierno.  

Acorde a especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS), las autoridades japonesas comenzaron una investigación inmediatamente después de recibir el reporte, encontrando a dos individuos que trataban de usar una de las cuentas de usuario comprometidas. Lo más probable es que estas personas estén vinculadas de algún modo con el hacker o grupo de hackers encargado del ataque.  

(Visited 309,1 times)