只要記下166816或Z66816,可能就足以入侵市面上的許多零售資訊系統(Point-of-Sale,PoS)。資安研究人員指出,一家PoS裝置大廠的機器25年來都使用這兩組密碼做為預設密碼,而且這些機器的使用者高達九成未修改預設密碼。

即使與PoS相關的惡意攻擊屢屢造成大量的消費者金融資料外洩,但Trustwave的兩名安全研究人員Charles Henderson與David Byrne在本周舉行的RSA安全會議上指出,PoS的安全機制其實很容易改善,只是製造商及使用者都輕忽相關措施,例如有一家PoS大廠從1990年就在裝置上使用同樣的預設密碼,不是166816就是Z66816,Trustwave最近的測試則發現,有高達9成的裝置還在使用該密碼。

根據Trustwave的測試,除了這家PoS製造商使用萬年預設密碼之外,還有一家製造商的預設密碼也用了9年,另一家製造商的密碼欄甚至是空的。

由於絕大多數的使用者並不修改預設密碼,這代表駭客只要取得某個品牌的PoS系統出廠預設密碼就可輕易攻陷其他同樣品牌的PoS系統。

Trustwave認為,現在的PoS安全機制太鬆散,不論是製造商或是使用者都缺乏警覺性。像是有些PoS裝置很容易被撬開,或是使用者沒有更新防毒軟體。

Trustwave也批評PoS系統製造商宣稱系統必須以管理員權限執行是個謊言,是懶惰的程式設計師使用的藉口,這個設計不良的問題讓駭客輕易取得系統最高控制權。Trustwave亦建議使用者不要將客戶的金融資訊儲存在收銀機上,也應採用嚴格的政策與認證機制。(編譯/陳曉莉)

熱門新聞

Advertisement