Крупнейший производитель платежных терминалов не менял дефолтные пароли с 90-х годов
Пока специалисты по информационной безопасности разбираются со случаями утечки данных десятков миллионов кредитных карт, на конференции RSA Conference в Сан-Франциско раскрываются некоторые детали, которые имеют отношение к крупнейшим производителям платежных терминалов. Точнее, об одном из производителей, который поставляет сотни тысяч терминалов в год, не меняя дефолтных паролей.
Специалисты (Девид Бурне и Чарльз Хендерсон), сделавшие доклад на конференции не называют имя компании, однако, пароль назван: 166816. Поиск в Google по этому паролю показывает нам имя компании, о которой идет речь. Это Verifone, компания, поставившая на рынок около 27 миллионов платежных терминалов, которые работают в 150 странах мира.
Эксперты, проводившие расследование, утверждают, что пароль 166816 актуален для 9 устройств из 10. Во многом, говорят исследователи, такая ситуация объясняется тем, что клиенты компании считают свой пароль уникальным. Так, покупатели терминалов считают, что для каждого терминала создается новый пароль, хотя это и не так.
По мнению специалистов, эта и другие уязвимости приводят к тому, что данные платежных карт клиентов массово утекают в Сеть. Одним из наиболее ярких случаев является утечка данных 70 миллионов клиентов Target. Также недавно были скомпрометированы данные 56 миллионов клиентов Home Depot. Пострадали и клиенты Neiman Marcus, White Lodging, Michaels и The UPS Store.
Эту проблему частично можно решить введением в широкий обиход чипованных карт, но и это не панацея.
https://geektimes.ru/post/249508/