Une semaine après le lancement de son application de paiement mobile au Japon, la célèbre chaîne de magasins de proximité 7-Eleven a été obligée de fermer celle-ci après avoir été victime d’un important piratage informatique.

Comme toutes les autres applications de paiement mobile, 7Pay proposait à ses utilisateurs de renseigner les données de leur carte de crédit afin de pouvoir régler plus rapidement leurs achats. Les clients n’avaient qu’à scanner le code-barre des produits et pouvaient directement les payer depuis 7Pay. Lancée le 1er juillet au Japon, l’application n’a cependant pas été très longtemps fonctionnelle.

En effet, de nombreux clients se sont rapidement plaints que des achats qu’ils n’avaient pas effectués leur étaient facturés. Les premières plaintes ont été faites le lendemain du lancement du moyen de paiement 7-Eleven. Au bout d’une semaine et de nombreux signalements de clients, la chaîne de magasins a décidé de retirer l’application.

En réalité, celle-ci présentait une faille de sécurité qui a été très vite repérée et exploitée par des pirates informatiques. Ceux-ci faisaient payer à d’autres clients leurs propres achats. La totalité des vols représente près de 500.000 dollars.

La méthode était assez simple puisqu’il suffisait aux hackers d’avoir la date de naissance, l’adresse mail et le numéro de téléphone de l’utilisateur pour demander un nouveau mot de passe via une autre adresse mail. Si les clients n’introduisaient pas de date de naissance, le 1er janvier 2019 était enregistré par défaut.

Les pirates avaient réussi à automatiser leur attaque ce qui leur a permis de cibler près de 900 personnes et de subtiliser environ 55 millions de yens, soit un peu plus de 500.000 dollars.

Confirmant l’intrusion, 7-Eleven a annoncé que les clients lésés seraient indemnisés et que la fonctionnalité de paiement de l’application avait été suspendue, ainsi que les facturations. La police a réussi à identifier deux individus tentant d’utiliser un compte piraté. Ils seraient liés à une organisation criminelle chinoise adepte des vols d’identité en ligne.