7-Eleven stellt eigene Bezahl-App nach einer Woche wieder ein

(Credit: CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=168796)

Während Lidl seine eigene Mobile-Payment-Lösung „Lidl Pay“ gerade in Spanien testet, hat die japanische Supermarktkette 7-Eleven ihre ersten Erfahrungen mit der eigenen Lösung „7pay“ bereits gemacht. Und die waren leider suboptimal. Denn Hackern gelang es, über eine schwerwiegende Sicherheitslücke Kundenkonten in ihre Gewalt zu bringen. 900 Kunden wurden zusammen um insgesamt rund 510.000 Dollar geprellt. Die Folge: Nach nur einer Woche musste der Händler seine Bezahl-App wieder abschalten.

Wie bei mobilen Zahlverfahren üblich konnten Kunden in der App ihre Kunden- oder Kreditkarten hinterlegen und dann an der Kasse über das Scannen eines Barcodes bezahlen. Doch schon in den erste Tagen beschwerten sich Kunden über Kontoabbuchungen für Einkäufe, die sie gar nicht getätigt hatten.

Schuld an dem Malheur war eine schlecht umgesetzte Funktion zur Passwort-Wiederherstellung, meldet ZDnet.com. Damit konnte jeder für andere Accounts einen Passwort-Reset durchführen, wenn er E-Mail-Adresse, Telefonnummer und Geburtsdatum wusste. Der Link wurde auch nicht an die im Profil hinterlegte E-Mail-Adresse geschickt, sondern konnte an eine frei eingebbare Adresse umgeleitet werden. Noch unsicherer wurde das Verfahren dadurch, dass auch das Geburtsdatum nicht obligatorisch war, sondern bei Nichteingabe einfach automatisch auf den 1. Januar 2019 gesetzt wurde.

7-Eleven muss sich nun in Schadensbegrenzung üben. Das Unternehmen hat angekündigt, den Nutzern das Geld für die betrügerischen Transaktionen zu erstatten.