В то время как магазины страдают от взломов и массовой утечки данных, некоторые их партнёры даже не думают о повышении безопасности. На хакерской конференции RSA Conference рассказали, что известный производитель платёжных терминалов с 1990 года использует один и тот же пароль по умолчанию (слайды презентации).
Докладчики Дэвид Бёрн (David Byrne) и Чарльз Хендерсон (Charles Henderson) не назвали компанию-производителя, зато сделали кое-что получше: они огласили этот самый дефолтный пароль: 166816 (как вариант, Z66816, в зависимости от типа клавиатуры).
Поиск в Google позволяет предположить, что это пароль от нескольких моделей устройств производства Verifone. По информации с официального сайта этой компании, она продала 27 млн платёжных устройств в 150 странах мира.
По словам авторов доклада, этот пароль используется в 9 из 10 терминалов, которые им встречались. Проблема в том, что многие клиенты ошибочно считают, что данный пароль уникальный и сгенерирован специально для них, поэтому не меняют его.
Информация от докладчиков с RSA Conference — неприятная новость для владельцев терминалов Verifone, которые ошибались насчёт уникальности своего пароля.
24.04.2015 в 17:52
Пароль дает доступ в биос терминала, защищать там нечего.
25.04.2015 в 10:40
Тоже не совсем понятно в чём угроза. Если брать случаю, когда pos терминалы заражали вирусами, то там всё ясно. А здесь?
dayld
19.06.2015 в 12:27
Угроза заключается в потере выручки компании.
Злоумышленник может очистить память терминала, затратив на это от силы минуту. И сколько времени у магазина залить новое ПО? Думаю минимум час.
25.04.2015 в 14:48
нечего, если не учитывать полученную возможность прошить в терминал новое ПО 🙂
25.04.2015 в 14:46
Дезынформация!!! Дефолт пароль на самом деле Z66831! 🙂 Если вы (спец по терминалам) не парились по поводу дефолтного пароля, теперь пребываете в шоке и не знаете, что делать, это легко исправимо!
Произведите партиал даунлоуд, запустив стандартную утилитку ddl.exe с параметром *SMPW=1234567, где вместо 1234567 ваш новый пароль. Предостережение: если утратите пароль, стандартным способом больше не сможете зайти в системный режим. Т.е., это действие вы производите на свой страх и риск 🙂
26.04.2015 в 22:06
И чем этот пароль может помочь?
27.04.2015 в 17:54
думаю ничем. параноики теперь имеют возможность попинать еще одну жертву за несекурное(с) поведение.