當日本7pay社長小林強在直播記者會面對提問時,毫無頭緒地回答:”什麼是雙因子驗證?”時,想必所有在電視前的IT與資安人員都是不自覺地翻了個白眼….。
上週一(7/1)全球最大(超過60,000間)的連鎖便利商店7-Eleven,在日本浩浩蕩蕩地將行動支付功能7pay上線了。7-Eleven抱著雄心壯志,把行銷費用拉高到500億日圓,準備以手機掃碼的7pay服務,來取代7-Eleven已經推出超過12年的卡片型電子支付服務nanaco。除了提高使用者體驗以外,推廣行動支付並連結7-Eleven帳號,綁定客戶購買資訊,作為商業發展策略的大數據分析資料來源更是勢在必得的願景。
不出所料,7pay在上線短短三天之內獲得了150萬用戶,但同時災難也正在到來。第二天(7/2)就開始有用戶發現自身遭駭,綁定在7pay的信用卡遭到在各地7-Eleven的大量盜刷。隔日(7/3) 7pay公司還沒了解到闖下大禍,只是呼籲用戶小心保管帳號密碼避免外洩。直到7/4日社長在前述直播記者會上的發言,讓7pay成為各界攻擊的炮火中心。連官方經濟產業省(相當於我國經濟部),都罕見地指責7pay沒有把”基本中的基本”做好。
這裡所謂”基本中的基本”,就是”基於資安的軟體設計(Security by Design)”。
如此重要的金融服務,除了沒有使用雙因子驗證來確認使用者身分以外,最令人毛骨悚然的是,重設密碼功能的資安設計出了好幾的重大問題。第三者只需要在網上搜尋一些目標用戶的基本資訊(如email、手機、生日),就可以利用7pay的資安設計疏漏,輕鬆地將新密碼指定寄送到自己的email,登入受駭帳戶後,”無限制”地用已被綁定的信用卡來盡情消費。
根據目前7pay高層所透露的資訊,筆者研判造成此次資安事件的主要原因有二。首先是7pay並不是一個獨立的App,而是在現有7-Eleven App中追加的行動支付功能。在整合背後各家開發商的成品時,7pay的開發團隊與產品經理,沒有重新檢視一個金融服務所需的資安需求,而是預想該7-Eleven App的資安設計已經足夠。其二是7pay這次為了提高使用者體驗,把各項功能的易用性放在最高優先順位,間接造成了第三者可以任意將新密碼傳送到受駭者以外email的破天荒設計。
以上的情境,在我國自2016年金管會提出「電子化支付比率五年倍增計畫」,並冀望於2020年能將我國電子支付比率提升至52%的潮流之下,或許也能帶給國人一些借鏡與警惕。
要避免有如日本7pay上線三天遭駭的難堪情事,首先在金融服務軟體開發流程的早期階段,就應該把資訊安全的需求,納入商業需求的考量,並在軟體設計階段,確保”基於資安的軟體設計(Security By Design)”。這部分需要資安人員的經驗與專業,而著重軟體開發安全的OWASP組織,也有提供許多免費文件可供參考應用。其次,在軟體開發流程的後段,完成功能性測試之後,一定要找資安專業人員做”滲透測試”或是”紅隊演練”。這些資安檢測服務,能夠像一張安全網一樣,在產品上線之前,以白帽駭客的觀點,盡可能將存在的漏洞找出並及時修補,避免上線後遭攻擊的窘態。在台灣許多績優的資安服務廠商,都能夠提供高品質的資安檢測專業服務,為業主把資安風險與商業風險降到最低。
May Security be with You!
以上評論不代表本新聞網立場
最HOT話題在這!想跟上時事,快點我加入TVBS新聞LINE好友!
Blueseeds天然初萃精油
