7-Eleven lanceerde eerder deze week zijn betaalapp 7Pay. Echter schort er nog wat aan het nieuwe systeem.

Sinds 1 juli kent Japan een betaal-app meer. Winkelketen 7-Eleven lanceerde, 7Pay, een betaalapp voor zijn klanten.

7Pay wachtwoordreset

Het gaat om zo’n 900 trouwe 7-Elevenklanten die als eerste de 7Pay-app in gebruik namen. Via hun accounts werd in totaal voor 55 miljoen Yen (452.000 euro) gestolen. Ondertussen is de winkel wel in actie geschoten en heeft het probleem intussen bevestigd. De gedupeerde klanten zullen ook worden terugbetaald door 7-Eleven.

De Japanse winkelketen heeft de betaaldienst ook tijdelijk stilgelegd om het systeem waterdicht te maken. Want daar knelt het schoentje. De resetfunctie voor het wachtwoord was enorm slecht ontworpen. Als je voor een account een wachtwoordreset aanvroeg, kon je eender welk e-mailadres kiezen waarmee je het wachtwoord kon aanpassen.

Onnozele ontwerpfout

Je moest enkel het e-mailadres, de geboortedatum en het telefoonnummer van het slachtoffer weten. Vanaf dan was het simpel, wachtwoord vernieuwen, account overnemen en shoppen maar. Je kan je nu afvragen waar de dieven al die gegevens vandaan halen. Blijkbaar zou het heel gemakkelijk zijn om die gegevens via internet terug te vinden, door de talloze datalekken van de laatste maanden of jaren staat alles zo te vinden. Daar bovenop komt het feit dat wanneer gebruikers van de 7-Eleven-app geen geboortejaar invulden die standaard als 1 januari 2019 werd ingevuld. Heel onnozel dus.

“De gedupeerde klanten zullen zo snel mogelijk worden terugbetaald.”

Aan de hand van het persbericht van 7-Eleven lezen we (na de automatische vertaling van Chrome) dat de eerste meldingen over bestolen klanten al op 2 juli plaatsvonden.  Het is dus redelijk opmerkelijk dat het nog tot gisteren heeft geduurd vooraleer 7-Eleven zijn 7Pay-applicatie heeft stopgezet.