两名安全研究人员David Byrne及Charles Henderson表示全球最大的POS系统厂商自1990年起便坚持使用同一密码166816。更让人大跌眼镜的是,竟然有90%左右的客户依然在使用这一密码!
行骗者只要物理接近PoS,并只需用一枚小小的曲别针打开面板就能利用该漏洞。这类PoS攻击并不少见,而且简直就像小孩恶作剧一样简单。犯罪分子在打开并解锁PoS设备之前眼睛眨都不眨一下。
Bishop Fox的咨询师Byrne及Trustwave测试首席Henderson表示,密码Z66816跟166816(1跟Z是PoS键盘布局的变量)甚至在竞争厂商中通用,而客户还以为自己的密码具有唯一性。
Henderson表示,“厂商声称必须以管理员身份运行,这简直就是胡说八道,十足的谎言。我知道他们为什么这么说,对于他们来说这就像天堂一样。但是如果PoS系统确实需要以管理员身份运行,说明厂商并没有重视安全问题。”
安全研究人员建议客户假设厂商并没有在PoS系统中部署安全设施,而如果他们声称已经这么做了则是在撒谎。客户应当进行严格的渗透测试。