一家网络安全初创公司告诉 TechCrunch,黑客可以访问用于远程管理和控制由数字支付巨头 Wiseasy 制造的数千个信用卡支付终端的仪表板。
Wiseasy 是一个您可能没有听说过的品牌,但它是一个流行的基于 Android 的支付终端制造商,用于亚太地区的餐厅、酒店、零售店和学校。通过其 Wisecloud 云服务,Wiseeasy 可以通过互联网远程管理、配置和更新客户终端。
但据这家初创公司称,用于访问 Wiseasy 云仪表板的 Wiseasy 员工密码——包括一个“管理员”账户——是在网络犯罪分子积极使用的暗网市场上发现的。
渗透测试和暗网监控初创公司 Buguard 的首席技术官 Youssef Mohamed 告诉 TechCrunch,密码被员工计算机上的恶意软件窃取。 Mohamed 表示,两个云仪表板被暴露,但都没有受到基本安全功能的保护,例如双重身份验证,并且允许黑客访问全球近 140,000 个 Wiseasy 支付终端。
支付系统经常成为金融黑客的攻击目标,目的是窃取信用卡号码以进行欺诈。
Buguard 表示,它在 7 月初首次与 Wiseasy 就被入侵的仪表板进行了联系,但披露妥协的努力遭到了与高管的会议,后来在没有警告的情况下被取消,据 Mohamed 称,该公司拒绝透露云仪表板是否或何时会得到保障。
TechCrunch 看到的仪表板屏幕截图显示“管理员”用户可以远程访问 Wiseasy 支付终端,包括锁定设备以及远程安装和删除应用程序的能力。该仪表板还允许任何人查看 Wiseasy 仪表板用户的姓名、电话号码、电子邮件地址和访问权限,包括添加新用户的能力。
另一个仪表板视图还显示了支付终端连接的网络的 Wi-Fi 名称和明文密码。
Mohamed 说,任何有权访问仪表板的人都可以控制 Wiseasy 支付终端并进行配置更改。
当 TechCrunch 联系到 Wiseasy 首席执行官 Jason Wang 时,他不会发表评论。在来自 Wiseasy 发言人 Ocean An 的另一封电子邮件中,该公司确认问题已得到修复,并且已在仪表板中添加了双因素身份验证。
目前尚不清楚该公司是否计划将安全漏洞通知其客户。
原文: https://techcrunch.com/2022/08/01/wiseasy-android-payment-passwords/