В то время как магазины страдают от взломов и массовой утечки данных, некоторые их партнёры даже не думают о повышении безопасности. На хакерской конференции RSA Conference рассказали, что известный производитель платёжных терминалов с 1990 года использует один и тот же пароль по умолчанию (слайды презентации).

Докладчики Дэвид Бёрн (David Byrne) и Чарльз Хендерсон (Charles Henderson) не назвали компанию-производителя, зато сделали кое-что получше: они огласили этот самый дефолтный пароль: 166816 (как вариант, Z66816, в зависимости от типа клавиатуры).

Поиск в Google позволяет предположить, что это пароль от нескольких моделей устройств производства Verifone. По информации с официального сайта этой компании, она продала 27 млн платёжных устройств в 150 странах мира.

По словам авторов доклада, этот пароль используется в 9 из 10 терминалов, которые им встречались. Проблема в том, что многие клиенты ошибочно считают, что данный пароль уникальный и сгенерирован специально для них, поэтому не меняют его.

003

Информация от докладчиков с RSA Conference — неприятная новость для владельцев терминалов Verifone, которые ошибались насчёт уникальности своего пароля.



7 комментариев

  1. 24.04.2015 at 17:52

    Пароль дает доступ в биос терминала, защищать там нечего.

    • 25.04.2015 at 10:40

      Тоже не совсем понятно в чём угроза. Если брать случаю, когда pos терминалы заражали вирусами, то там всё ясно. А здесь?

      • dayld

        19.06.2015 at 12:27

        Угроза заключается в потере выручки компании.
        Злоумышленник может очистить память терминала, затратив на это от силы минуту. И сколько времени у магазина залить новое ПО? Думаю минимум час.

    • 25.04.2015 at 14:48

      нечего, если не учитывать полученную возможность прошить в терминал новое ПО 🙂

  2. 25.04.2015 at 14:46

    Дезынформация!!! Дефолт пароль на самом деле Z66831! 🙂 Если вы (спец по терминалам) не парились по поводу дефолтного пароля, теперь пребываете в шоке и не знаете, что делать, это легко исправимо!

    Произведите партиал даунлоуд, запустив стандартную утилитку ddl.exe с параметром *SMPW=1234567, где вместо 1234567 ваш новый пароль. Предостережение: если утратите пароль, стандартным способом больше не сможете зайти в системный режим. Т.е., это действие вы производите на свой страх и риск 🙂

  3. 26.04.2015 at 22:06

    И чем этот пароль может помочь?

    • 27.04.2015 at 17:54

      думаю ничем. параноики теперь имеют возможность попинать еще одну жертву за несекурное(с) поведение.

Оставить мнение