7Pay上线就被攻破,7-11自建移动支付损失上千万

移动支付已成为中国的新四大发明之一,可是很少人知道二维码是源自日本。但是日本的移动支付应用始终没有得到普通大众推广。作为巨大潜力的市场,众多巨头想从中分得一杯羹,先后有Line、雅虎日本、软银集团等互联网公司,还有在日本人生活中无处不在的便利店。7 月 1 日,作为全球最大的连锁便利店7-11发布了他们自己的移动支付应用,开启了在新战场的正面交锋。

 

7Pay上线就被攻破,7-11自建移动支付损失上千万

▲ 图片来自:the japan times


7-11 自己研发的支付应用「7pay」,使用方式类似我们常用的微信支付、支付宝类似,收银员用扫码抢扫描顾客手机上的二维码或条形码界面即可完成收款。


从7-11发布的声明可知,7-11是想充分利用每日高达2200万的客流量,提升用户体验和扩大营收额。

 

7Pay上线就被攻破,7-11自建移动支付损失上千万

▲ 全家 FamiPay 的推广

7-11 推广自家移动支付新应用7pay也继承了中国互联网频出的补贴大招,以打折、返代金券为主。


虽然日本诞生了二维码和比特币,但日常支付却仍停留在现金消费时代,较为流行和普及的是一种名为「西瓜卡」(Suica)的 IC 卡,此卡不仅可作交通卡、门禁卡使用,卡内的储值亦可用于各大消费场所,Apple Pay 进入日本市场时也是以此为突破口。

7Pay上线就被攻破,7-11自建移动支付损失上千万


社交巨头 Line 算是最早进军日本移动支付市场的企业之一,不过 Line Pay 起初主要用于用户之间转账,线下支付也仅限于加盟店。


总体上讲,移动支付在日本的渗透相当缓慢,一是与西瓜卡的便捷使用有关;二是日本人口老龄化严重老年人多很多70岁的老头依然工作在各种岗位挣钱,老年人对使用智能手机进行移动支付对他们而言门槛相对较高;三是用户对移动扫码付和线上支付的安全性不信任,大部分人觉得用现金更安心。

 

7Pay上线就被攻破,7-11自建移动支付损失上千万

▲ 西瓜卡可能是日本最普及的非现金支付方式


即便如此日本人年轻一代人对移动支付的热情正在悄然被点燃。日本政府也鼓励国民使用移动支付新技术,为了鼓励国民使用手机支付,同时也是为了刺激日本人在数十年通货紧缩下被降低的消费欲,日本政府去年出台了一项奖励政策:凡是通过智能手机、信用卡或其他无现金方式付款的消费者,可以在限定时间内获得最高 5% 的积分奖励折扣,折扣可用于未来购物抵现,但仅限于主要面向日本运营的公司,使用支付宝、微信支付或刷银联卡的中国游客就享受不到了。


此外,日本政府还宣布从 2019 年 10 月起,全国的消费税由 8% 上调至 10%,但对使用非现金收款的零售商提供最高 5% 的退税。

 

7Pay上线就被攻破,7-11自建移动支付损失上千万

如此一来,企业和消费者的热情都被调动起来。Line 于今年 4 月推出了独立的 Line Pay 应用,支持扫码支付;日本软银与 Yahoo 联合打造的支付工具 PayPay 已经进行了 2 轮共 200 亿日元补贴,苹果店、BIC CAMERA 等商店排长龙的盛况,跟国内移动支付初期补贴推广时超市的火爆场面不相上下。


7-11 和全家的入局,无疑将移动支付的竞争进一步推向白热化,然而,或许是传统线下公司技术储备不足,7-Eleven 的移动支付刚上线两天,就捅了大篓子。


7 月 4 日,7-11 召开发布会承认 7pay 因遭遇第三方非法入侵,可能造成约 900 名用户约 5500 万日元(约合人民币 350 万元)损失,公司将全额补偿受损用户,目前他们已停止新用户注册。


据 7-11 介绍,他们周二接到一些顾客报告,称其账户在日本海外被登陆,不法分子利用顾客注册 7pay 时使用的信用卡卡号,在便利店购买商品,以香烟等易于变现的商品为主,其中单笔交易高达 10 万日元。


由于 7pay 注册用户已超过 150 万,除了盗刷外,用户的邮件、生日等个人信息也可能被盗取

 

7Pay上线就被攻破,7-11自建移动支付损失上千万


▲ 图片来自:Twitter

根据网友「Yuee」的解释,7pay 的安全机制实在是漏洞百出:


1、7pay 以邮箱作为账号;


2、找回密码只需要使用「生日」;


3、生日可以不填,默认为 2019 年 1 月 1 日;


4、找回密码时,填错后,没有次数限制;


5、重置密码可选择登录邮箱以外的邮箱接收密码重置链接。


也就是说,只要知道邮箱,而对方恰好没有更改默认生日——目测这样的人还不少,那么破解账号就是分分钟的事了。据「@o_lll」介绍,对于重置密码链接可发至第三方邮箱的 bug,7-11 采取了更令人匪夷所思的操作,不是修复漏洞而是在 html 页面将其隐藏,你没看错,隐藏!你依然可以通过查看页面元素的方式找到隐藏项,从而用非注册邮箱收到重置链接。


7Pay上线就被攻破,7-11自建移动支付损失上千万

▲7-11 高管在发布会上鞠躬道歉 图片来自:The Jiji Press, Ltd


而 7-11 社长在随后记者会上的回答更是让人对该公司 IT 水平深感担忧。当记者询问 7pay 为什么没有提供二次验证功能时,社长反问「二次验证是什么?」


7-11 这波操作,恐怕会打击到日本人继续使用移动支付的积极性并加深对它的不信任感,也让日本政府大力推广的无现金支付大受打击。