並不是因為我們管理數以萬計的支付終端,我們就必須處於 IT 安全之上。例:Wiseasy 公司。這家總部位於新加坡的新創公司相對鮮為人知,它提供適用於 Android 系統的支付終端解決方案,面向餐廳、飯店、商店等。所有支付點都連接到“Wisecloud”,這是一種客戶端-伺服器架構,可以輕鬆進行遠端管理。事實上有點太多了。
透過雲端遠端存取
據 Buguard 的安全研究人員稱,一些 Wiseasy 員工的密碼被惡意軟體竊取。其中有一個管理員帳戶。由於這些帳戶均未受到第二因素身份驗證的保護,因此駭客能夠遠端存取超過 140,000 個支付終端,主要位於亞太地區。
據 Buguard 稱,這種存取使得遠端安裝或卸載支付終端上的應用程式成為可能。還可以檢索每個終端的使用者清單(包括姓名、地址和電話號碼)以及所連接的 Wi-Fi 網路的密碼。
回應能力低
安全研究人員在 7 月聯繫 Wiseasy 時,該事件的處理也不是很積極。布古德和威斯西原定會面,但後者在最後一刻取消了會議。接受 TechCrunch 質詢後,該公司最終確認漏洞已被修復,且雙重認證現已啟動。現在還不算太早。
遺憾的是,Wiseasy 尚未公佈任何進一步的技術細節。特別是,尚不清楚駭客是否竊取了個人數據,或者是否設法獲取了信用卡數據,而信用卡數據通常是此類案件的主要目標。
來源 : 技術緊縮
