Пока специалисты по информационной безопасности разбираются со случаями утечки данных десятков миллионов кредитных карт, на конференции RSA Conference в Сан-Франциско раскрываются некоторые детали, которые имеют отношение к крупнейшим производителям платежных терминалов. Точнее, об одном из производителей, который поставляет сотни тысяч терминалов в год, не меняя дефолтных паролей.
Специалисты (Девид Бурне и Чарльз Хендерсон), сделавшие доклад на конференции не называют имя компании, однако, пароль назван: 166816. Поиск в Google по этому паролю показывает нам имя компании, о которой идет речь. Это Verifone, компания, поставившая на рынок около 27 миллионов платежных терминалов, которые работают в 150 странах мира.
Эксперты, проводившие расследование, утверждают, что пароль 166816 актуален для 9 устройств из 10. Во многом, говорят исследователи, такая ситуация объясняется тем, что клиенты компании считают свой пароль уникальным. Так, покупатели терминалов считают, что для каждого терминала создается новый пароль, хотя это и не так.
По мнению специалистов, эта и другие уязвимости приводят к тому, что данные платежных карт клиентов массово утекают в Сеть. Одним из наиболее ярких случаев является утечка данных 70 миллионов клиентов Target. Также недавно были скомпрометированы данные 56 миллионов клиентов Home Depot. Пострадали и клиенты Neiman Marcus, White Lodging, Michaels и The UPS Store.
Эту проблему частично можно решить введением в широкий обиход чипованных карт, но и это не панацея.
Комментарии (12)
Greesha
24.04.2015 19:38+15В огороде бузина, а в Киеве дядька. Каждый последующий абзац не связан напрямую с предыдущим.
Это пароль сервисного меню. Ничего особенного там нет. Когда-то в некоторых реализациях софта из него действительно можно было распечатать журнал транзакций (сам когда-то вставлял такую функцию в отладочных целях, только на терминалах другого производителя), но обязательные сертификации PCI-DSS давно уже уничтожили эту возможность. И вообще, в те времена проще было набрать чеков с номерами карт в мусорной корзине.
Производитель не обязан менять дефолтный пароль, на то он и дефолтный. Менять его должны те, кому принадлежит терминал, и кто занимается его обслуживанием (в РФ это почти исключительно банки-эквайеры).
Миллионные утечки клиентских данных делаются не с терминалов. И уж точно не через сервисное меню.
Чипованные карты вообще к теме дефолтного пароля не имеют никакого отношения.AllexIn
24.04.2015 20:39Расскажите пожалуйста, чем чипованые карты лучше обычных?
Я всегда думал что их единственная фишка — невозможность скопировать карту.
Но последнее время их упоминают везде как панацею от всех бед, вот я начинаю сомневаться — может там еще какие-то фишки есть…
x0wl
24.04.2015 22:24Смарт-карты на то и «смарт», что могут все вычисления проводить внутри себя, используя терминал только как железку для связи с банком, отдавая ей только зашифрованную информацию. Соответственно, даже если терминал каким-то образом скомпрометирован, сделать с картой ничего нельзя.
rozboris
24.04.2015 22:42-1Чипованную карту невозможно «прочитать», поэтому невозможно скопировать и провести по ней «чужие» транзакции. В чипе хранится уникальный криптографический ключ, а протоколы построены так, что ключ никогда не отправляется из чипа наружу, прочитать его можно только взломав чип физически, что невозможно без его уничтожения.
Если кто-то узнает номер вашей чипованной карты, даже если сделает дамп магнитной полосы, то он не сможет расплатиться ей в магазине (на магнитной полосе записано «у меня есть чип, используй его для транзакций»).
Оплаты в интернете защищаются через двухфакторную авторизацию (ввод кода из СМС или другого пароля, которого нет на карте).
Таким образом, при использовании чипа и 3-D Secure транзакции защищены гораздо лучше, чем при использовании карт и процессов «старого образца».
senia
24.04.2015 22:49+1Одна проблема: 3-D Secure не является обязательным. Достаточно найти сайт, не поддерживающий 3-D Secure (таких большинство) и платить там.
rozboris
24.04.2015 22:57Вообще, это сильно зависит от региона и культуры. В Европе я не видел сайтов, на которых не было бы 3-D Secure (обычно все пользуются крупными и мелкими проверенными посредниками типа PayPal, Stripe или локальных типа Klarna).
В Штатах, например, банки по-дефолту берут всю ответственность на себя и клиенту очень просто взять и откатить любую транзакцию — обычно сначала вернут деньги, а потом будут разбираться с продавцом (есть даже такой классический вид скама: получить товар, а потом откатить транзакцию и сделать морду кирпичом).
svosin
26.04.2015 16:42Более того — Amazon не требует CVV2, т.е. достаточно лишь камеры над кассой для воровства средств. Именно поэтому я прикрыаю карту на пути до слота терминала.
MaximChistov
24.04.2015 19:52+5Ализар, перелогиньтесь)
eyeless_watcher
24.04.2015 20:17+7Не стоит их путать, marks это совершенно отдельный профессиональный журналист.
mwizard
А к какому функционалу открывает доступ этот пароль?