Skip to main content

App de pagos cierra a los tres días porque los hackers roban 500.000 dólares sin hackear

7-Eleven

07/07/2019 - 21:39

No ha durado ni 72 horas. La app de pagos de la cadenas de tiendas japonesa 7-Eleven ha tenido que cerrar dos días después de estrenarse, porque los hackers han robado 500.000 dólares a sus clientes. Por si fuera poco el fallo de seguridad podría haber sido tan grave como simple, hasta el punto de que ni siquiera ha sido necesario un hackeo para robar ese dinero.

7-Eleven es la cadena de tiendas de abastecimiento más grande del mundo, con más de 65.000 establecimientos repartidos en 17 países. Venden productos de alimentación, bebidas, droguería, prensa, gasolina, etc. Aunque es una empresa americana fundada en 1927 y allí mantiene su sede central, en 2005 fue comprada por la compañía japonesa Seven & I Holdings.

El pasado 1 de julio la filial japonesa de 7-Eleven estrenó su app de pago, llamada 7pay. Dos días después anunciaba su cierre en un comunicado, tras detectar que habían robado 500.00 dólares a 900 de sus clientes, usando la app. Y sin necesidad de hackear nada.

Listen to "Episodio #68: De esta nadie se Libra, la Yi Leche y entrevistamos a Pablo Wang (Huawei)" on Spreaker.

7pay se usaba para pagar en las mencionadas tiendas de 7-Eleven. Los clientes instalan la app en su móvil y, al ir a pagar al mostrador, aparece un código de barras que leen con el móvil para aceptar el pago.

Sin embargo, según los primeros informes esta app tenía un grave problema de seguridad: podías resetear la contraseña sin conocer la clave.

Para cambiar la contraseña solo era necesario introducir la dirección de email, el número de teléfono y la fecha de nacimiento de la cuenta. Si los datos son correctos, la nueva contraseña se puede enviar a cualquier email distinto al del registro de la cuenta.

De alguna forma los ciberdelincuentes se hicieron con los email, teléfonos y fecha de nacimiento de 900 clientes (son datos relativamente sencillos de conseguir) y con ellos reenviaron las contraseñas a sus propias direccciones de email. Así tomaron el control de las cuentas y realizaron pagos con ellas en las tiendas de 7-Eleven por valor de 500.000 dólares, en solo dos días.

AirDots

Xiaomi Redmi AirDots

Xiaomi presenta sus nuevos auriculares inalámbricos Xiaomi Redmi AirDots, la respuesta a los AirPods de Apple, a un precio mucho más barato. Con Bluetooth 5.0, un peso de solo 4 gramos, y hasta 12 horas de autonomía.

La compañía japonesa ha anunciado que se hará cargo del robo y devolverá el dinero robado a los clientes.

Pero resulta sorprendente que la mayor cadena de tiendas de abastecimiento del mundo lance una app de pago con un fallo de seguridad tan grave, que permite obtener la contraseña de un usuario sin necesidad de hackear la app, o la propia cuenta de usuario.

Tags:

#Seguridad