據TechCrunch報導,一家名為Wiseasy的線上支付公司,日前員工帳號密碼外流,導致數萬組信用卡資料遭駭客竊取,引發資安危機。
Wiseasy是一個在Android基礎上開發的支付終端服務廠商,用於亞太地區的餐廳、飯店、零售店和學校等。運用自家的Wisecloud雲端服務系統,Wiseasy可以透過網路進行遠端管理、配置和更新客戶終端服務。但據TechCrunch報導指出,網路安全新創公司Buguard在監控暗網時發現,用於登入Wiseasy的雲端儀表板的員工密碼,包含主要的管理員帳號資料被員工電腦中的惡意軟體竊取並於暗網中販售,Buguard的技術長Mohamed表示:在Wiseasy上完全沒有受到基本資訊安全功能的保護,例如:雙重身份驗證,導致駭客輕易的從雲端儀表板中造訪全球近140,000個Wiseasy支付終端裝置。
■ Wiseasy在Android下開發的支付裝置。(圖片來源自/Wiseasy)
支付系統經常成為金融駭客的攻擊目標,目的是竊取信用卡號碼以進行欺詐。Buguard 表示,在7月初首次與Wiseasy就被入侵的儀表板進行了聯繫,在他們的努力下安排了與Wiseasy高階主管會議的機會,但後來卻在沒有警告的情況下被取消,據Mohamed稱,該公司拒絕透露雲端儀表板是否或何時會得到保障。
TechCrunch看到的儀表板營幕截圖顯示「管理員」使用者可以遠端造問 Wiseasy支付終端,包括鎖定設備以及遠端安裝和刪除應用程式的功能。該儀表板還允許任何人查看Wiseasy儀表板用戶的姓名、電話號碼、電子郵件地址和訪問權限,包括添加新用戶的功能。另一個儀表板圖示還顯示了支付終端連接的網路Wi-Fi名稱和密碼。
Mohamed說,任何有權限登入儀表板的使用者都可以控制Wiseasy支付終端並進行配置更改。當TechCrunch聯繫到Wiseasy的CEO Jason Wang時,他對此不發表評論,但來自Wiseasy發言人Ocean An的郵件中回覆,該公司確認問題已得到修復,並且已在儀表板中添加了雙重身份驗證;目前尚不清楚該公司是否計劃將安全漏洞通知其客戶。