預設密碼的用途為在用戶將裝置密碼更改前作用初步保障之用,但據日前的研究指,在零售商戶中必不可少的 PoS 系統預設密碼竟被沿用 25 年之久,更有九成用戶從未更改並一直使用預設密碼作為系統的守門員。
廠商與用戶為 PoS 系統最大資安漏洞
據 Trustwave 的資安研究人員 Charles Henderson 與 David Byrne 於日前舉行的 RSA 安全會議上指,最離譜的一家 PoS 廠商自 1990 年起就於自家裝置上使用同樣的預設密碼 – 166816 或 Z66816,並至現時仍未改變。而最近的測試更發現,達 9 成的裝置仍在沿用上述密碼;Charles 與 David 續指,其實 PoS 的安全機制改善非難事,最困難之處為製造商與用戶都忽視相關措施。
據 Trustwave 的測試結果指,除上述 PoS 製造商使用萬年預設密碼外,另外亦有一家製造商的預設密碼沿用 9 年之久,甚至有另一家製造商的密碼欄空空如也。
而有見於絕大部分的用戶並毋修改預設密碼的習慣,代表黑客只需要得到某個品牌 PoS 系統的出廠預設密碼就可以輕易攻陷同類型只是品牌的 PoS 系統。
Trustwave 除批評現時的 PoS 安全機制太鬆散、各方都缺乏警覺性外,亦批評 PoS 系統製造商宣稱系統必須以管理員權限執行為世紀大謊言,而設計不良的問題更令黑客可以輕易取得系統最高控制權。
此外,Trustwave 亦建議用戶應避免將客戶的金融資訊儲存恣收銀機上,同時應採用更嚴格的政策與認證機制,以確保用戶的資料安全。
Source:RSA
