In totaal zijn er ongeveer negenhonderd Japanse klanten bestolen, samen goed voor 55 miljoen yen (452.000 euro). Winkelketen 7-Eleven heeft het probleem intussen bevestigd en belooft de klanten terug te betalen.

Het incident draait om de betaalfunctie in de 7-Eleven app die op 1 juli werd gelanceerd. Daarmee konden klanten aan de kassa een barcode tonen om hun rekening te betalen. Die barcode werd gekoppeld aan hun krediet- of debetkaart.

Maar de app had een zeer slecht ontworpen resetfunctie voor het wachtwoord. Wie voor een bepaalde account een wachtwoordreset aanvroeg, kon de link daarvoor naar eender welk e-mailadres sturen. Het volstond daarbij om het e-mailadres, geboortedatum en telefoonnummer van het slachtoffer te kennen om de resetlink naar een andere mailbox te sturen. Wie dat deed kon een account overnemen en shoppen op andermans kosten.

ZDNet.com merkt op dat de meeste van die gegevens relatief makkelijk te vinden zijn dankzij data-inbreuken van de afgelopen jaren. Bovendien hanteerden accounts waar geen geboortedatum werd opgegeven standaard '1 januari 2019'.

Hoe dergelijke ontwerpfouten niet zijn opgemerkt voor de app op de markt kwam is onduidelijk. De betaaldienst werd intussen wel afgesloten.