0
(Afbeelding: foto bestand)
Beveiligingsonderzoekers hebben bedacht een manier te bieden steile kortingen of het stelen van goederen door het hacken van kwetsbare point-of-sale systemen.
De onderzoekers van cybersecurity bedrijf ERPScan, die een commercieel belang in de ruimte, vond dat SAP ‘s point-of-sale (POS) systemen niet verifiëren of het controleren van interne commando’ s, zodat iedereen met toegang tot het opslaan van het netwerk van onbeperkte toegang tot de kassa systeem. Dat is misschien niet zo moeilijk als diverse apparaten en machines in de winkel zijn ook ethernet-verbinding, waardoor een plug en play-stijl aanval makkelijker dan anderen.
De hacker heeft te doen is het uploaden van een nieuwe configuratie bestand om de SAP-server Xpress, die bepaalt de kassa machines, om toegang te krijgen tot de administratieve functies.
Die toegang kan de niet-geverifieerde hacker om de prijzen te wijzigen, stelt u kortingen of andere schadelijke acties tegen de systemen — met inbegrip van het op afstand afsluiten van de kassa machines, of het ontmaskeren van credit card nummers.
“Het stelen van creditcardnummers, het opzetten van prijzen en speciale kortingen, op afstand starten en stoppen van een betaalautomaat — al deze opties zijn op de hacker het menu,” zei Alexander Polyakov, chief technology officer bij ERPScan.
De onderzoekers zeggen dat de “prijs van $1” te kopen van een MacBook, die ze gebruikt als voorbeeld in hun testen “is een overdrijving,” maar merkte op dat een kassier kijkt uit op een korting van de prijs item.
Volgens Dmitry Chastuhin, één van de onderzoekers die de kwetsbaarheden, de fout kan inherent zijn aan de overkant POS systemen, omdat ze allemaal gebruik maken van min of meer vergelijkbare infrastructuren.
“Zodra een aanvaller in het netwerk, hij of zij krijgt volledige controle van het systeem, inclusief prijzen en credit card gegevens,” zei Chastuhin.
“Dat is ongelooflijk hoe zeer onzeker we zijn toen gewoon inlezen van een kaart,” zei hij.
SAP heeft sinds bevestigd, kan de kwetsbaarheden en uitgerold patches.
In de afgelopen jaren, POS-systemen zijn uitgegroeid tot een doelwit voor hackers stelen gegevens van de klant en het plegen van fraude.
Terwijl sommige POS-systemen maken gebruik van gepatenteerde software, vele zijn gebaseerd op Windows. Wanneer deze zijn aangesloten op het internet en wordt zelden bijgewerkt (indien ooit), de systemen zijn in het verdere risico van malware-aanvallen.
Een aantal van de grootste data-inbreuken, met name Slachtoffer, veroorzaakt door hackers targeting POS-systemen. Hackers overgeheveld uit de gegevens op 70 miljoen klanten van het Doel van de systemen in 2014 het gebruik van off-the-shelf malware. Verschillende andere high profile verkooppunten zijn ook getroffen door gelijkaardige schendingen.
Vorig jaar, Oracle geopenbaard was het onderzoek van een schending van de Micros POS systems, een divisie die geldt als een van de top POS makers wereldwijd met meer dan 330.000 usd sites in 180 landen.
POS aanvallen kosten retailers en klanten miljarden per jaar.
Het aantal aanvallen op POS-systemen, met inbegrip van ransomware aanvallen, zei daalt echter.
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Lees Meer
ZDNET ONDERZOEKEN
Gelekt TSA documenten onthullen in New York airport golf van gebrekkige beveiliging
AMERIKAANSE regering geduwd tech bedrijven om de hand over de source code
Bij de AMERIKAANSE grens: Gediscrimineerd, vastgehouden, gezocht, ondervroeg
Miljoenen klant van Verizon records blootgesteld in veiligheid te vervallen
Aan de schimmige tech makelaars dat levert de data voor de NSA
Binnen de wereldwijde terreur watchlist dat in het geheim schaduwen miljoenen
FCC-voorzitter gestemd voor het verkopen van uw browsegeschiedenis, dus hebben we gevraagd te zien zijn
Met een enkele aftappen om de AMERIKAANSE autoriteiten luisterden in op 3,3 miljoen telefoongesprekken
198 miljoen Amerikanen getroffen door de grootste ooit’ kiezer records lek
Groot-brittannië heeft doorgegeven ‘de meest extreme toezicht wet ooit voorbij in een democratie’
Microsoft zegt ‘geen bekende ransomware’ draait op Windows, 10 S, dus hebben we geprobeerd om te hacken
Uitgelekt document onthult de BRITSE plannen voor een bredere internet surveillance
0