7月3日，日本7-Eleven推出的移動支付工具7pay發生大規模盜刷，官方在晚上暫停了服務。7月4日，7pay社長召開新聞發布會向公眾謝罪道歉并承諾賠償損失，同日晚上，日本警方宣布逮捕了兩個涉嫌盜刷的中國籍人士。事情至此告一段落，但是引發的風波才剛剛開始。

日本經產省要求提交保證書

據日本共同社報道，7月9日，日本經濟產業相世耕弘成在內閣會議后的記者會上透露，鑒于移動支付服務“7pay”遭遇盜刷事件，已要求其他支付服務商提交保證書，以確認其是否遵守旨在防止違規的方針。

保證書的提交日期為8天。對象為二維碼支付服務提供商，手機支付等也包含在內。世耕弘成表示若未遵守方針，則會被排除出包括10月消費稅增稅時積分返點活動在內的無現金化推進項目，此外“還將采取要求退還補貼的嚴厲措施”。

日本經產省的功能類似于我國的發改委，全稱是經濟產業省，負責制訂經濟計劃、綜合政策調整、經濟調查分析等等，因此這份保證書的分量不可謂不沉重，相當于立下了軍令狀。當然，這份保證書更為重大的意義是讓支付服務商壓上了自己的聲譽。

聲譽在日本商業社會中是非常重要的一部分，有些時候甚至比資金實力更為重要。經產省要求提交保證書這一舉措很直接的抓住了要害。在7pay高官面對記者提問表現出連雙重驗證都不知道的情況下，日本經產省或許也有為現在飽受質疑的日本移動支付行業重新樹立聲譽的含義。

有可能是惡意競爭導致的攻擊？

根據7pay官方公布的信息，其支付系統在7月1日開始運行之后就受到了來自以中國為主的海外的未經授權訪問，是引發盜刷的直接原因，日本警方在7月4日抓獲的兩個中國籍男士則是間接證實了官方的信息。于是日本各大媒體都以“疑似來自中國的攻擊”進行了報道，懷疑是中國黑客對7pay進行了攻擊。

產生這種猜測無可厚非，而且有理有據讓人信服。但是移動支付網也注意到了國外極少數媒體的判斷：這一切有可能是來自于移動支付公司之間不健康的競爭。

7pay在7月1日開始提供服務，7月4日就被盜刷逼得停止運營，如同受到了一次精準快速的“外科手術式”打擊。這一切不由的讓人懷疑，是早有謀劃的陰謀還是7pay不甘人后想要早點進入市場上線了不安全的系統？

如果將中國的移動支付市場類比于魏蜀吳三國爭霸，那么日本的移動支付市場則是爭霸開始前的群雄并起，處于戰國時期。比較知名的有PayPay、Line Pay、R Pay，有我們熟知的、突入日本市場的支付寶、微信、銀聯，還有一些在中國不太出名的移動支付公司，在群雄亂斗當中，發生什么都不太奇怪。

在這場亂斗中，后發的7pay具有巨大的先天優勢。7-Eleven作為日本最大的連鎖便利店遍布日本各地，深入到了日本人日常生活的方方面面。因此7pay天生自帶高頻小額支付場景，而且是各種場景中最具有價值的一類。

其他還在擴展使用場景的支付公司對后發先至的7pay進行了一次惡意的攻擊似乎也說得過去。但是我個人更相信7pay是因為著急上線而忽略了系統安全。7月11日對于7-Eleven來說是一個重要的活動日，錯過一次只能等明年，為了趕上今年的7-11活動，7pay急匆匆上線了沒有經過測試的系統，從而導致了盜刷問題。

前文提到過聲譽是日本商業社會中極為重要的一部分，在日本政府提出了“無現金愿景”并對移動支付公司進行幫扶的時候，7pay發生了這樣的惡性事情很有可能就此一蹶不振。

如果7pay不能參加日本經產省即將在10月進行的積分返點活動等一系列推廣活動，或許會就此夭折，因為從10月開始，日本的消費稅將上調2%。其他支付公司可以通過日本經產省的活動將這2%消費稅返還給消費者，從而吸引大量用戶。

7pay如果不能參加日本經產省的各種推廣活動，這2%的消費稅或許會成為壓死7pay的最后一根稻草。

7pay盜刷過程有一個大問題

7pay被攻擊的理由有可能是“來自中國的黑客團伙”可能是“由于不健康競爭”，也可能是兩者兼有，但7pay遭受了惡意攻擊這一點毋庸置疑，當務之急是弄清楚攻擊是怎么進行的？

從盜刷發生到現在，絕大部分人都認為是7pay的系統設計存在問題，不需要二次驗證就可以改變密碼是一個非常愚蠢的漏洞，也是能被犯罪分子輕易利用的主要原因。盜刷犯罪的全過程日經網在報道時給出了詳細的說明并附上了說明圖片。但是，其中有個關鍵問題值得我們注意：通過郵箱改變的是什么密碼？

7pay的本質是一個電子錢包，需要用戶先把資金充值到錢包中才可以使用。根據日本記者三上洋的研究，想要通過7pay進行盜刷有兩個障礙，一個是7pay程序的登錄密碼，另一個是7pay充值密碼。

在7pay的設計上，7pay登錄密碼需要設置為8位以上，且帶有英文+數字，而充值認證密碼需要設置為6位以上密碼，不能使用英文大寫字母，需要吐槽的是兩個密碼可以一樣。關鍵點在于，如果使用的是銀行卡進行充值，充值密碼是3D Secure安全驗證密碼。

3D Secure是由VISA率先推出的信用卡網上交易安全認證方案，3D的意思是Acquirer Domain收單行、Issuer Domain發卡行、Interoperability Domain卡組織。用戶發起支付指令之后，商戶的收單行會承接該指令，然后傳遞給卡組織，卡組織再傳遞給發卡行。不需要U盾之類的實體安全口令。用戶通過卡號，CVV2，過期時間以及設置的安全驗證密碼的校驗來完成驗證，也可能通過手機短信來完成認證。

通過郵箱可以重置7pay的充值密碼嗎？如果不能，那么盜刷者是如何為7pay充值的？這個問題非常值得深究，甚至比為什么7pay沒有設置雙重驗證更值得深究。現在來看，如果可以通過郵箱重置7pay的充值密碼反而是一個比較好的結果。

如果不能通過郵箱重置7pay的充值密碼，輕則7-Eleven發生了嚴重的數據泄露，甚至泄露了明文密碼，重則日本整個移動支付體系一直有重大漏洞，由于之前有較為嚴密的賬戶安全體系所以沒有暴露出來，這次因為7pay賬戶可以被輕易重置所以才暴露。

最后

在移動支付網截稿之前，日本警方公布消息又抓獲了一名利用7pay施行盜刷的中國籍女留學生，她還是7-Eleven的店員。7pay被“來自中國的黑客組織攻擊”再一次得到了側面證實。盜刷的原因是什么？盜刷是如何進行？至今官方也沒有給出詳細解釋。

7pay官方宣布將加入雙重認證和消費上限作為新的安全措施，并在昨天宣布禁止Line、Facebook等五種外部賬號的登錄以確保安全。但是日本媒體、日本民眾和7-Eleven的店主都對這些措施都不夠滿意。