0
(Billede: file foto)
Sikkerhed forskere har udviklet en måde at tilbyde stejle rabatter eller stjæle varer ved hacking sårbare point-of-sale systemer.
Forskerne på cybersecurity firma ERPScan, som har en kommerciel indsats i rummet, fandt, at SAP ‘ s point-of-sale (POS) systemer ikke godkende eller kontrollere interne kommandoer, som tillader at alle med adgang til store netværk ubegrænset adgang til kassen system. Det er måske ikke så svært, når de forskellige apparater og maskiner rundt i butikken er også ethernet-forbindelse, der gør en plug and play-style attack lettere end andre.
Alle hacker har at gøre er at uploade en ny konfigurationsfil til SAP Xpress-server, som styrer kassen maskiner, for at få adgang til de administrative funktioner.
Denne adgang giver ikke-godkendt hacker at ændre priser, sæt rabatter, eller tage andre skadelige handlinger mod systemerne-herunder eksternt lukke kassen maskiner, eller demaskering kredit kort tal.
“At stjæle kreditkortnumre, opsætning af priser og specielle rabatter, remote start og stop af en POS-terminal — alle disse muligheder er på hacker-menuen,” sagde Alexander Polyakov, chief technology officer ved ERPScan.
Forskerne siger, at “pris af $1” til at købe en MacBook, som de brugte som eksempel i deres test “er en overdrivelse,” men bemærkede, at en kasse kan overse en rabat på den pris elementet.
Ifølge Dmitry Chastuhin, en af de forskere, der er identificeret sårbarheder, fejl kan være forbundet på tværs af POS systemer, fordi de bruger alle er stort set ens infrastruktur.
“Når en hacker er i det netværk, han eller hun får fuld kontrol over systemet, herunder priser og kreditkort-data,” sagde Chastuhin.
“Det er utroligt, hvor sørgeligt usikker vi når lige at aflæse et kort,” sagde han.
SAP har siden rettet sårbarheder og rulles ud patches.
I de seneste år, POS-systemer er blevet et mål for hackere til at stjæle kundernes data og begå bedrageri.
Mens nogle POS systemer bruger proprietær software, mange er Windows-baseret. Når disse er tilsluttet internettet, og sjældent opdateret (hvis nogensinde), systemer er yderligere risiko for, at malware-angreb.
Nogle af de største brud på datasikkerheden, herunder navnlig Målet er, har været forårsaget af hackere er rettet mod POS-systemer. Hackere kanalisering data på 70 millioner kunder fra Target ‘ s systemer i 2014 med off-the-shelf malware. Flere andre højt profilerede forretninger har også været ramt af lignende overtrædelser.
Sidste år, Oracle afslørede, at det var at undersøge en overtrædelse af Micros POS-systemer, en division, der rangerer som en af de øverste POS beslutningstagere globalt med mere end 330,000 websteder på tværs af 180 lande.
POS angreb omkostninger forhandlere og kunder milliarder hvert år.
Antallet af angreb på POS-systemer, herunder ransomware angreb, siges at være i tilbagegang, dog.
Kontakt mig sikkert
Zack Whittaker kan nås sikkert på Signal og WhatsApp på 646-755-8849, og hans PGP fingeraftryk til e-mail er: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Læs Mere
ZDNET UNDERSØGELSER
Lækket TSA dokumenter afslører New York airport ‘ s bølge af sikkerhed bortfalder
Den AMERIKANSKE regering skubbet tech firmaer, til at udlevere kildekoden
Ved den AMERIKANSKE grænse: Diskrimineret, tilbageholdt, søgte forhørt
Millioner af Verizon kunde registreringer, der vises i sikkerhed bortfalder
Mød den dunkle tech mæglere at levere dine data til NSA
Inde i den globale terror-overvågningsliste, der hemmeligt skygger millioner
FCC-formand stemte for at sælge dine browserdata — så vi bad om at se hans
Med en enkelt telefonaflytning for de AMERIKANSKE myndigheder lyttede på 3,3 mio telefonopkald
198 millioner Amerikanere er ramt af ” største nogensinde fra vælgerne, registreringer lækage
Storbritannien har bestået den “mest ekstreme overvågning lov, der nogensinde er gået i et demokrati”
Microsoft siger, at “ingen kendte ransomware’ kører på Windows-10 S — så vi har forsøgt at hacke det
Lækket dokument, der afslører BRITISKE planer for større internet-overvågning
0