Los clientes de 7-Eleven generalmente buscan una manera rápida y fácil de pagar por artículos o gasolina en la tienda de conveniencia, y por eso la empresa japonesa lanzó recientemente una app de pagos móviles llamada 7Pay.
Sin embargo, solo unos días después de que ese nuevo sistema comenzó a funcionar -específicamente a principios de la semana pasada-, varios clientes comenzaron a quejarse de que se les estaba cobrando por artículos que no habían comprado.
Por eso, la compañía ahora ha suspendido el uso de su servicio de pago móvil mientras investiga los procedimientos de seguridad de 7Pay. En un comunicado hecho público, 7-Eleven admitió que piratas informáticos habían accedido a la aplicación e hicieron transacciones falsas que afectaron a 900 clientes por un monto de $506,000 dólares.
El sábado 6 de julio, el Japan Times informó sobre el arresto de dos hombres chinos que podrían estar conectados al robo cibernético, uno de ellos sospechoso de intento de fraude luego de pagar 730,000 yenes (aproximadamente $6,750 dólares) para comprar 150 cajas de cartuchos de cigarrillos electrónicos de una tienda 7-Eleven en Tokio, supuestamente usando cuentas robadas.
¿Cómo funcionan los pagos con 7Pay?
La aplicación de pagos electrónicos de 7-Eleven trabaja usando un código de barras que aparece en el teléfono inteligente del cliente, el cual debe darse al empleado de la tienda para que lo escanee, y así se pueda cargar el costo de los artículos a la tarjeta de crédito o débito vinculada del cliente.
Sin embargo, un informe de ZDNet asegura que la aplicación estaba tan mal diseñada que permitía que cualquier persona que tenga información básica de los usuarios, como el correo electrónico, la fecha de nacimiento y el número de teléfono, podía tener acceso a su cuenta y, por lo tanto, realizar pagos con la tarjeta de crédito o débito del cliente.
¿Cómo los hackers lograron acceso a las cuentas?
Esto es precisamente lo que hicieron los piratas informáticos: usaron los datos básicos para pedir que se cambiara la contraseña de las cuentas y pidieron que el enlace para crear la nueva contraseña se envíe a su propio correo electrónico. El hacker podría entonces tomar el control total de la cuenta.
Lo que parece haber ocurrido fue que los piratas cibernéticos automatizaron el ataque, utilizando información recopilada en otras brechas de seguridad en línea anteriores dirigidas a bases de datos japonesas.
La alarmante facilidad con la que los hackers pudieron explotar 7Pay hizo que el gobierno japonés se involucrara, y el Ministerio de Economía, Comercio e Industria acusó a 7-Eleven de no adherirse adecuadamente a las pautas que evitan ese tipo de accesos no autorizados. La compañía, que opera más de 65,000 tiendas a nivel global, incluyendo alrededor de 20,000 tiendas en Japón, 8,500 en los Estados Unidos y casi 2,000 en México, se disculpó por el contratiempo y prometió reembolsar completamente a los afectados.
