數位支付巨頭 Wiseasy 旗下信用卡支付終端驚傳遭駭客劫持。駭客一開始將惡意軟體植入 Wiseasy 員工電腦,然後再將員工存取雲端儀表板的密碼偷到手。雲端儀表板管控大量支付終端,駭客最終成功存取全球約 140,000 台 Wiseasy 支付終端,接下來駭客就能大方側錄信用卡號碼,並發動詐騙攻擊。
Wiseasy 是受歡迎的 Android 支付終端製造商,客戶遍布亞太區餐廳、旅館、商場和學校。透過 Wiseasy 旗下 Wisecloud 雲端服務及雲端儀表板,便能遠端網路管理、設定與更新顧客支付終端。
具「管理員權限」的使用者,不但可透過雲端儀表板遠端存取 Wiseasy 支付終端,並能鎖定裝置及遠端安裝或移除 App。最令人擔憂的是,只要擁有密碼,任何人都可透過雲端儀表板查看 Wiseasy 儀表板使用者姓名、手機號碼、電子郵件地址及存取權限,甚至還可新增使用者。不僅如此,儀表板還會顯示支付終端所連接網路的 Wi-Fi 名稱和明文密碼。總而言之,任何具備存取端儀表板表權限的使用者,都能控制 Wiseasy 支付終端並變更設定。
滲透測試暨暗網監控服務新創公司 Buguard 技術長 Youssef Mohamed 透露,網路犯罪者最愛使用的暗網市集發現可存取 Wiseasy 雲端儀表板的 Wiseasy 員工密碼及管理員帳號,代表駭客將從 Wiseasy 員工電腦偷到的密碼,放到暗網販售。
已知 2 個 Wiseasy 雲端儀表板密碼外洩,但誇張的是,這兩個儀表板竟然連雙因素認證等任何基本安全保護機制都沒有,造成十幾萬台支付終端遭入侵一點也不意外。
Buguard 早在 7 月初就針對安全問題連絡 Wiseasy,但兩家公司原要召開安全會議,卻無預警由 Wiseasy 取消,且 Wiseasy 事後拒絕表示是否或何時解決雲端儀表板的安全問題。
而 Wiseasy 證實安全問題已解決,並在儀表板新增雙因素認證機制。
(首圖來源:Wiseasy)
科技新報粉絲團
加入好友
訂閱免費電子報
