เป็นข่าวใหญ่ที่ญี่ปุ่นวันนี้ เรื่อง 7pay บริการจ่ายเงินด้วย QR โค้ดของ 7-11 ญี่ปุ่นที่เพิ่งเปิดให้บริการวันที่ 1 ก.ค. 2019 แต่ดันมีปัญหาผู้ใช้บริการถูกแฮค โดนตัดเงินโดยไม่รู้ตัว มูลค่าความสูญเสียมากกว่า 55 ล้านเยนแล้ว

อิมเมจ 7pay

ช่องโหว่การรีเซ็ตรหัสผ่าน

ปัญหาถูกขโมยเงินไปใช้ เกิดจากช่องโหว่ของระบบ สรุปประเด็นปัญหาจากเว็บ Yahoo! News ได้ตามนี้

  1. ช่องโหว่ที่ใหญ่สุดคือระบบรีเซ็ตรหัสผ่าน สามารถส่งเมลเพื่อรีเซ็ตรหัสผ่านไปยังเมลอื่นนอกจากเมลที่ลงทะเบียนได้
  2. การขอรีเซ็ตรหัสผ่าน ต้องการแค่วันเดือนปีเกิด เบอร์โทรศัพท์ และอีเมลที่ใช้ลงทะเบียน
  3. ที่ร้ายกว่านั้นคือหากลงทะเบียนผ่านแอพ iOS จะไม่ต้องใส่วันเกิดก็ลงทะเบียนได้ กรณีนี้วันเกิดจะถูกเซ็ตเป็นวันที่ 2019/1/1 โดยอัตโนมัติ
  4. ไม่มีระบบ 2-factor authentication หรือการยืนยันตัวตนสองขั้นตอนผ่าน SMS/Email ทำให้เจ้าของไอดีไม่อาจรู้ได้ว่ามีคนอื่นล็อกอินเข้าไอดีตัวเอง

เห็นไส้ในระบบยืนยันตัวตนที่อ่อนแอแบบนี้แล้ว คนทำงาน IT ทุกคนคงเสียวสันหลัง… เขาปล่อยระบบรักษาความปลอดภัยหลวมๆ แบบนี้มาใช้งานกับแอพจ่ายเงินได้ยังไงเนี่ย

7-11 รับมืออย่างไร

หลังทราบเรื่องวันนี้ 7-11 ก็ปิดการชาร์จเงินเข้ากระเป๋าสตางค์ดิจิตัลผ่านบัตรเครดิตชั่วคราว ทำให้ต่อให้คนร้ายรู้รหัสไอดี ก็ไม่สามารถขโมยเงินจากบัตรเครดิตได้ แต่ก็ไม่ได้มีการแก้ไขที่ต้นเหตุแต่อย่างใด

ที่เลวร้ายสุดคือ จากงานแถลงข่าวฉุกเฉินของบริษัท Seven & i Holdings บริษัทแม่ของ 7-11** ประธานบริษัทยืนยันว่าไม่พบช่องโหว่ของแอพ **สำหรับการอนุญาตให้รีเซ็ตรหัสผ่านด้วยอีเมลอื่นนั้น ทำเพื่อความสะดวกของลูกค้าที่สมัครบริการด้วยอีเมลมือถือ เวลารีเซ็ตจากคอมจะได้ใช้อีเมลคอมได้ ซึ่งผมว่าฟังไม่ขึ้นเลย… ดูยังไงก็เป็นช่องโหว่ของการออกแบบระบบชัดๆ ถึงระบบจะทำได้ถูกต้องตามที่ออกแบบก็เถอะ

ความเห็น

ส่วนตัวไม่ชอบการจ่ายเงินด้วย QR โค้ดเท่าไร ลำบากจะตายเมื่อเทียบกับการหยิบบัตร Suica/Edy มาจ่าย แค่แตะก็จ่ายได้แล้ว ไม่ต้องหยิบมือถือมาปลดล็อค รอมันโหลดโค้ด (บางที่เน็ตแย่ก็โหลดไม่ขึ้นอีก) ยอมใช้ LINE Pay อยู่เพราะมันโอนเงินให้กันง่ายแค่นั้นแหละ โอนง่ายสำคัญกว่าใช้ไม่สะดวกนิดนึง

ในขณะที่บริษัทมากมายพยายามจะผลักดันให้ QR Payment กลายเป็นมาตรฐาน (Rakuten Pay, Line Pay, au Pay, PayPay, FamiPay ฯลฯ) กรณีช่องโหว่ของ 7pay นี่อาจทำให้คนส่วนมากกลัว ไม่ไว้ใจกับการใช้ QR ไปเลย ยิ่งเจอคำอธิบายที่ไม่รับผิดชอบแบบนี้ เผลอๆ** สังคม cashless ที่รัฐบาลญี่ปุ่นวาดฝันไว้ก็อาจจะล่มสลายได้ **ถือเป็นเคสที่ความเสียหายรุนแรงมากๆ…

ที่มา
https://news.yahoo.co.jp/byline/mikamiyoh/20190704-00132766/
https://www.sankei.com/affairs/news/190704/afr1907040023-n1.html
https://www.sankei.com/affairs/news/190704/afr1907040023-n1.html