Au total, environ 900 clients japonais ont été volés, pour un montant total de 55 millions de yens (452 000 euros). La chaîne de magasins 7-Eleven a entre-temps confirmé le problème et promet de rembourser les clients.

L'incident concerne la fonction de paiement dans l'application 7-Eleven, lancée le 1er juillet. Elle permettait aux clients d'afficher à la caisse un code-barres leur permettant de payer leur compte. Ce code-barres était lié à leur carte de crédit ou de débit.

L'application disposait d'une fonction de réinitialisation de mot de passe très mal conçue. Quiconque demandait la réinitialisation du mot de passe d'un compte pouvait envoyer le lien à n'importe quelle adresse e-mail. Il suffisait de connaître l'adresse e-mail, la date de naissance et le numéro de téléphone de la victime pour envoyer le lien de réinitialisation à une autre adresse e-mail. L'auteur des faits pouvait prendre le contrôle d'un compte et effectuer ses achats aux frais de quelqu'un d'autre.

ZDNet.com fait observer que la plupart de ces données sont relativement faciles à trouver en raison des atteintes à la protection des données des dernières années. En outre, les comptes pour lesquels aucune date de naissance n'était spécifiée utilisaient par défaut le 1er janvier 2019.

On ne sait pas clairement comment de telles erreurs de conception n'ont pas été détectées avant le lancement de l'application sur le marché. Le service de paiement a entre-temps été fermé.