กรณีศึกษา 7pay แอปจ่ายเงินเซเว่นญี่ปุ่น กับความปลอดภัยที่หละหลวมจนสูญเสียความเชื่อมั่น

เซเว่นอีเลฟเว่น เชนร้านสะดวกซื้อในประเทศญี่ปุ่นซึ่งดูแลโดย Seven & i Holdings ได้ออกแอปจ่ายเงินที่ชื่อว่า 7pay มาในวันที่ 1 กรกฎาคม และไม่กี่วันหลังออก แอปก็ถูกแฮก ซึ่งมูลค่าความเสียหายอยู่ที่ราว 38 ล้านเยน หรือเกือบ 11 ล้านบาท เนื่องมาจากการออกแบบระบบความปลอดภัยที่ไม่ดีพอ

ภาพจากเซเว่นอีเลฟเว่น ประเทศญี่ปุ่น

การออกแบบ 7pay ถือว่าหละหลวมต่อกระบวนการความปลอดภัยอย่างมาก วิธีใช้งานคือแค่ใส่ชื่อผู้ใช้และรหัสผ่านก็เข้าบัญชีได้แล้ว ซึ่งวิธีการยืนยันตัวตนแบบนี้ไม่เพียงพอต่อการทำธุรกรรมทางการเงิน เพราะอย่างน้อย ๆ ก็ควรจะมีระบบยืนยันตัวตนสองปัจจัยเข้ามาใช้งานร่วมด้วย เนื่องจากชื่อผู้ใช้และรหัสผ่านหาได้ง่ายมากจากข้อมูลที่หลุดออกมา

Katsuhiro Goto รองประธาน Seven & i ยอมรับว่า บริษัทไม่ได้พิจารณาการยืนยันตัวตนสองปัจจัยอย่างถี่ถ้วน จึงทำให้ระบบอ่อนแอ

ภาพจาก Shutterstock

Seven & i เองก็ไม่ได้เป็นมือใหม่ทางด้านการเงินและความปลอดภัยทางไซเบอร์ เพราะบริษัทก็มี Seven Bank ที่ให้บริการทางการเงินและเปิดตัวมาตั้งแต่ปี 2001 ซึ่งมีตู้เอทีเอ็มของตนเองติดตั้งในร้านสะดวกซื้อ ส่วนในปี 2007 ก็ออกบริการเงินอิเล็กทรอนิกส์ nanaco ด้วย

แม้ว่า Seven & i จะมาช้าในเกมระบบจ่ายเงินบนมือถือในประเทศญี่ปุ่น แต่บริษัทก็ไม่ได้สะทกสะท้านมากนัก เพราะว่ายังมีกำไรจากการดำเนินงานถึง 2.45 แสนล้านเยนในปีที่แล้ว สูงกว่าคู่แข่งอย่าง Lawson ที่ 4.57 หมื่นล้านเยน หรือ FamilyMart ที่ 4.42 ล้านเยนมาก แต่จุดอ่อนของเซเว่นอีเลฟเว่นคือทราฟฟิกในร้านค้าถือว่าไม่ได้ดีเท่าที่ควร

นี่จึงเป็นเหตุผลหนึ่งที่สร้าง 7pay ขึ้นมา เพราะเซเว่นอีเลฟเว่นคาดหวังว่าจะใช้ข้อมูลลูกค้าให้เป็นประโยชน์ โดยบริการ 7pay อยู่ในแอปหลักของเซเว่นอีเลฟเว่นที่มีผู้ดาวน์โหลดกว่า 12 ล้านครั้ง จึงทำให้ 7pay มีผู้ลงทะเบียนถึง 1.5 ล้านคนในสามวันแรกหลังเปิดตัว

7pay สร้างปัญหาต่อ Seven & i เป็นอย่างมาก เพราะหลังถูกแฮกก็ส่งผลต่อความเชื่อมั่นอย่างมหาศาล การกู้สิ่งเหล่านี้กลับมาจากลูกค้าไม่ใช่เรื่องง่าย และเซเว่นถือเป็นรายใหญ่ ไม่ใช่รายย่อยที่ไม่มีความเชี่ยวชาญ เรื่องนี้จึงลามไปถึงความเชื่อมั่นทั้งอุตสาหกรรมระบบจ่ายเงินของญี่ปุ่นที่กำลังอยู่ระหว่างการเติบโตอย่างเลี่ยงไม่ได้

สุดท้ายแล้ว เมื่อวันพฤหัสบดีที่ผ่านมา Seven & i จึงตัดสินใจหยุดให้บริการ 7pay ด้วยเหตุผลว่าปัญหาความปลอดภัยในครั้งนี้ถือเป็นเรื่องใหญ่เกินกว่าที่บริษัทจะรับไหว และต้องใช้เวลาอีกมากในการแก้ไข โดยมีกำหนดหยุดให้บริการในเดือนหน้า

Seven & i ยืนยันไม่ถอนตัวจากตลาดระบบจ่ายเงินมือถือและจะกลับมาแน่นอน และอาจมีการร่วมมือกับผู้เล่นรายอื่นในตลาดนี้ด้วย

ทั้งนี้ แม้จะมีความเสียหายต่อระบบ 7pay ผลกระทบนี้จะไม่มีนัยสำคัญต่องบการเงินของบริษัท Seven & i แต่ที่แน่นอนคือภาพลักษณ์ของ 7pay จะเสียหายแบบกู้กลับมายากมากแล้ว

กรณีของ 7pay ถือเป็นบทเรียนสำคัญให้อุตสาหกรรมระบบจ่ายเงินญี่ปุ่น โดย Makoto Takahashi ประธานของ KDDI ผู้ให้บริการเครือข่ายในญี่ปุ่นซึ่งมีบริการกระเป๋าเงินดิจิทัล au Pay กล่าวว่า “กรณีนี้เกี่ยวข้องกับเราด้วย มีคนจำนวนมากที่กำลังหาช่องโหว่ในระบบความปลอดภัย เราจึงมุ่งมั่นรักษาความปลอดภัยอย่างเต็มที่”

สรุป

เรื่องเงินถือเป็นเรื่องใหญ่ แม้ว่ารายใหญ่จะทำแต่เมื่อพลาดก็ส่งผลกระทบทั้งระบบ และกรณีของ 7pay ก็ถือเป็นกรณีศึกษาที่ดีว่าระบบการเงินที่มีช่องโหว่นั้นส่งผลกระทบได้มากขนาดไหน ผู้ให้บริการจึงต้องตระหนักให้มากว่าภัยเหล่านี้อยู่ไม่ไกลนัก และต้องชั่งน้ำหนักระหว่างความสะดวกสบายกับความปลอดภัยให้ดี ๆ

ที่มา – Nikkei Asian Review (1), (2)

ติดตามข่าวสารจาก Brand Inside ได้จาก Facebook ของเรา

คอลัมนิสต์ Brand Inside ผู้สนใจเรื่องของบริษัทเทคโนโลยี, ตลาดเงินตลาดทุน รวมถึงด้านธนาคาร และการปรับตัวด้านเทคโนโลยีมาใช้ของบริษัทต่าง ๆ