PoS大廠預設密碼166816沿用25年,九成使用者未更改
即使與PoS相關的惡意攻擊屢屢造成大量的消費者金融資料外洩,但Trustwave的兩名安全研究人員Charles Henderson與David Byrne在本周舉行的RSA安全會議上指出,PoS的安全機制其實很容易改善,只是製造商及使用者都輕忽相關措施,例如有一家PoS大廠從1990年就在裝置上使用同樣的預設密碼,不是166816就是Z66816,Trustwave最近的測試則發現,有高達9成的裝置還在使用該密碼。
Trustwave認為,現在的PoS安全機制太鬆散,不論是製造商或是使用者都缺乏警覺性。像是有些PoS裝置很容易被撬開,或是使用者沒有更新防毒軟體。
Trustwave也批評PoS系統製造商宣稱系統必須以管理員權限執行是個謊言,是懶惰的程式設計師使用的藉口,這個設計不良的問題讓駭客輕易取得系統最高控制權。Trustwave亦建議使用者不要將客戶的金融資訊儲存在收銀機上,也應採用嚴格的政策與認證機制。
既然「9成的裝置還在使用該密碼」那就永遠都不用改了!