7月3日，日本7-Eleven推出的移動支付工具7pay發(fā)生大規(guī)模盜刷，官方在晚上暫停了服務(wù)。7月4日，7pay社長召開新聞發(fā)布會向公眾謝罪道歉并承諾賠償損失，同日晚上，日本警方宣布逮捕了兩個涉嫌盜刷的中國籍人士。事情至此告一段落，但是引發(fā)的風(fēng)波才剛剛開始。

日本經(jīng)產(chǎn)省要求提交保證書

據(jù)日本共同社報道，7月9日，日本經(jīng)濟(jì)產(chǎn)業(yè)相世耕弘成在內(nèi)閣會議后的記者會上透露，鑒于移動支付服務(wù)“7pay”遭遇盜刷事件，已要求其他支付服務(wù)商提交保證書，以確認(rèn)其是否遵守旨在防止違規(guī)的方針。

保證書的提交日期為8天。對象為二維碼支付服務(wù)提供商，手機(jī)支付等也包含在內(nèi)。世耕弘成表示若未遵守方針，則會被排除出包括10月消費稅增稅時積分返點活動在內(nèi)的無現(xiàn)金化推進(jìn)項目，此外“還將采取要求退還補(bǔ)貼的嚴(yán)厲措施”。

日本經(jīng)產(chǎn)省的功能類似于我國的發(fā)改委，全稱是經(jīng)濟(jì)產(chǎn)業(yè)省，負(fù)責(zé)制訂經(jīng)濟(jì)計劃、綜合政策調(diào)整、經(jīng)濟(jì)調(diào)查分析等等，因此這份保證書的分量不可謂不沉重，相當(dāng)于立下了軍令狀。當(dāng)然，這份保證書更為重大的意義是讓支付服務(wù)商壓上了自己的聲譽(yù)。

聲譽(yù)在日本商業(yè)社會中是非常重要的一部分，有些時候甚至比資金實力更為重要。經(jīng)產(chǎn)省要求提交保證書這一舉措很直接的抓住了要害。在7pay高官面對記者提問表現(xiàn)出連雙重驗證都不知道的情況下，日本經(jīng)產(chǎn)省或許也有為現(xiàn)在飽受質(zhì)疑的日本移動支付行業(yè)重新樹立聲譽(yù)的含義。

有可能是惡意競爭導(dǎo)致的攻擊？

根據(jù)7pay官方公布的信息，其支付系統(tǒng)在7月1日開始運行之后就受到了來自以中國為主的海外的未經(jīng)授權(quán)訪問，是引發(fā)盜刷的直接原因，日本警方在7月4日抓獲的兩個中國籍男士則是間接證實了官方的信息。于是日本各大媒體都以“疑似來自中國的攻擊”進(jìn)行了報道，懷疑是中國黑客對7pay進(jìn)行了攻擊。

產(chǎn)生這種猜測無可厚非，而且有理有據(jù)讓人信服。但是移動支付網(wǎng)也注意到了國外極少數(shù)媒體的判斷：這一切有可能是來自于移動支付公司之間不健康的競爭。

7pay在7月1日開始提供服務(wù)，7月4日就被盜刷逼得停止運營，如同受到了一次精準(zhǔn)快速的“外科手術(shù)式”打擊。這一切不由的讓人懷疑，是早有謀劃的陰謀還是7pay不甘人后想要早點進(jìn)入市場上線了不安全的系統(tǒng)？

如果將中國的移動支付市場類比于魏蜀吳三國爭霸，那么日本的移動支付市場則是爭霸開始前的群雄并起，處于戰(zhàn)國時期。比較知名的有PayPay、Line Pay、R Pay，有我們熟知的、突入日本市場的支付寶、微信、銀聯(lián)，還有一些在中國不太出名的移動支付公司，在群雄亂斗當(dāng)中，發(fā)生什么都不太奇怪。

在這場亂斗中，后發(fā)的7pay具有巨大的先天優(yōu)勢。7-Eleven作為日本最大的連鎖便利店遍布日本各地，深入到了日本人日常生活的方方面面。因此7pay天生自帶高頻小額支付場景，而且是各種場景中最具有價值的一類。

其他還在擴(kuò)展使用場景的支付公司對后發(fā)先至的7pay進(jìn)行了一次惡意的攻擊似乎也說得過去。但是我個人更相信7pay是因為著急上線而忽略了系統(tǒng)安全。7月11日對于7-Eleven來說是一個重要的活動日，錯過一次只能等明年，為了趕上今年的7-11活動，7pay急匆匆上線了沒有經(jīng)過測試的系統(tǒng)，從而導(dǎo)致了盜刷問題。

前文提到過聲譽(yù)是日本商業(yè)社會中極為重要的一部分，在日本政府提出了“無現(xiàn)金愿景”并對移動支付公司進(jìn)行幫扶的時候，7pay發(fā)生了這樣的惡性事情很有可能就此一蹶不振。

如果7pay不能參加日本經(jīng)產(chǎn)省即將在10月進(jìn)行的積分返點活動等一系列推廣活動，或許會就此夭折，因為從10月開始，日本的消費稅將上調(diào)2%。其他支付公司可以通過日本經(jīng)產(chǎn)省的活動將這2%消費稅返還給消費者，從而吸引大量用戶。

7pay如果不能參加日本經(jīng)產(chǎn)省的各種推廣活動，這2%的消費稅或許會成為壓死7pay的最后一根稻草。

7pay盜刷過程有一個大問題

7pay被攻擊的理由有可能是“來自中國的黑客團(tuán)伙”可能是“由于不健康競爭”，也可能是兩者兼有，但7pay遭受了惡意攻擊這一點毋庸置疑，當(dāng)務(wù)之急是弄清楚攻擊是怎么進(jìn)行的？

從盜刷發(fā)生到現(xiàn)在，絕大部分人都認(rèn)為是7pay的系統(tǒng)設(shè)計存在問題，不需要二次驗證就可以改變密碼是一個非常愚蠢的漏洞，也是能被犯罪分子輕易利用的主要原因。盜刷犯罪的全過程日經(jīng)網(wǎng)在報道時給出了詳細(xì)的說明并附上了說明圖片。但是，其中有個關(guān)鍵問題值得我們注意：通過郵箱改變的是什么密碼？

7pay的本質(zhì)是一個電子錢包，需要用戶先把資金充值到錢包中才可以使用。根據(jù)日本記者三上洋的研究，想要通過7pay進(jìn)行盜刷有兩個障礙，一個是7pay程序的登錄密碼，另一個是7pay充值密碼。

在7pay的設(shè)計上，7pay登錄密碼需要設(shè)置為8位以上，且?guī)в杏⑽?數(shù)字，而充值認(rèn)證密碼需要設(shè)置為6位以上密碼，不能使用英文大寫字母，需要吐槽的是兩個密碼可以一樣。關(guān)鍵點在于，如果使用的是銀行卡進(jìn)行充值，充值密碼是3D Secure安全驗證密碼。

3D Secure是由VISA率先推出的信用卡網(wǎng)上交易安全認(rèn)證方案，3D的意思是Acquirer Domain收單行、Issuer Domain發(fā)卡行、Interoperability Domain卡組織。用戶發(fā)起支付指令之后，商戶的收單行會承接該指令，然后傳遞給卡組織，卡組織再傳遞給發(fā)卡行。不需要U盾之類的實體安全口令。用戶通過卡號，CVV2，過期時間以及設(shè)置的安全驗證密碼的校驗來完成驗證，也可能通過手機(jī)短信來完成認(rèn)證。

通過郵箱可以重置7pay的充值密碼嗎？如果不能，那么盜刷者是如何為7pay充值的？這個問題非常值得深究，甚至比為什么7pay沒有設(shè)置雙重驗證更值得深究?，F(xiàn)在來看，如果可以通過郵箱重置7pay的充值密碼反而是一個比較好的結(jié)果。

如果不能通過郵箱重置7pay的充值密碼，輕則7-Eleven發(fā)生了嚴(yán)重的數(shù)據(jù)泄露，甚至泄露了明文密碼，重則日本整個移動支付體系一直有重大漏洞，由于之前有較為嚴(yán)密的賬戶安全體系所以沒有暴露出來，這次因為7pay賬戶可以被輕易重置所以才暴露。

最后

在移動支付網(wǎng)截稿之前，日本警方公布消息又抓獲了一名利用7pay施行盜刷的中國籍女留學(xué)生，她還是7-Eleven的店員。7pay被“來自中國的黑客組織攻擊”再一次得到了側(cè)面證實。盜刷的原因是什么？盜刷是如何進(jìn)行？至今官方也沒有給出詳細(xì)解釋。

7pay官方宣布將加入雙重認(rèn)證和消費上限作為新的安全措施，并在昨天宣布禁止Line、Facebook等五種外部賬號的登錄以確保安全。但是日本媒體、日本民眾和7-Eleven的店主都對這些措施都不夠滿意。