Aktualisiert 09.07.2019 08:50

«Unglaublicher Fehler»Hacker klauen 500'000 Fr. von Handy-Nutzern

Cyberkriminelle haben den Bezahldienst der Ladenkette 7-Eleven gekapert. Sie lösten falsche Zahlungen auf hunderten Kundenkonten aus.

von
tob
1 / 6
Mit dem Handy-Bezahldienst der Ladenkette 7-Eleven sollten Kunden bequem und gefahrlos im Laden bezahlen können.

Mit dem Handy-Bezahldienst der Ladenkette 7-Eleven sollten Kunden bequem und gefahrlos im Laden bezahlen können.

Bloomberg
Der Dienst war  am 1. Juli in Japan eingeführt worden, wies aber schwere Sicherheitslücken auf.

Der Dienst war am 1. Juli in Japan eingeführt worden, wies aber schwere Sicherheitslücken auf.

epa/Franck Robichon
In der Bezahl-App waren die Kreditkartendaten der Kunden hinterlegt.

In der Bezahl-App waren die Kreditkartendaten der Kunden hinterlegt.

iStock

Der Handy-Bezahldienst der Ladenkette 7-Eleven hätte das Leben der Kunden vereinfachen sollen – hätte. Denn in der App, die erst Anfang Juli in Japan lanciert worden war, gab es eine äusserst kritische Sicherheitslücke.

Betrüger konnten so Konten von 900 App-Nutzern belasten und im Laden auf fremde Kosten einkaufen. Denn in jeder App ist eine Kreditkarte hinterlegt. Die Hacker ergaunerten auf diese Weise einen Betrag von umgerechnet 500'000 Franken.

7-Eleven stoppt Dienst

Das Problem lag bei der Passwort-zurücksetzen-Funktion. Jeder, der die E-Mail-Adresse eines Nutzers, dessen Geburtsdatum und Telefonnummer wusste, konnte das Passwort zurücksetzen lassen – und zwar auf eine x-beliebige E-Mail-Adresse. Dies seine eine «unglaubliche Fehlkonstruktion», wie das Tech-Portal Zdnet.com berichtet.

Noch schlimmer: Wenn die Nutzer kein Geburtsdatum in ihrem Konto angegeben hatten, setzte die Bezahl-App einfach den 1. Januar 2019 ein. Die Kriminellen nutzten für den Angriff auf 7-Eleven Nutzerdaten, die sie von früheren Hacks besassen. So konnten sie den Angriff automatisieren. Nur zwei Tage nachdem der Dienst in Japan lanciert worden war, stoppte 7-Eleven ihn wieder. Die Ladenkette hat angekündigt, den geprellten Kunden den Betrag zurückzuerstatten.

Verdächtige verhaftet

Die Polizei von Tokio hat laut Sankei.com zwei Männer verhaftet, die versucht hatten, Zigis über das 7-Pay-Konto einer anderen Person zu kaufen. Es ist unklar, ob die beiden Verdächtigen hinter allen Angriffen stecken.

Deine Meinung

Fehler gefunden?Jetzt melden.