回勞安中心首頁




 
  智財權與資安最新訊息
<< 回智財權與資安最新訊息

跨國星級飯店頻外洩信用卡資料,POS到底有什麼潛在風險?
 

到五星級飯店住宿,除了可以享受高級的住宿設施和服務外,從這兩個月開始,有幾間全球知名的星級連鎖飯店,包括喜達屋集團、希爾頓飯店和凱悅飯店等,都陸續傳出在北美地區的連鎖飯店中,因為POS機或支付裝置感染惡意程式,導致有住宿或消費客人的信用卡資料外洩。

 

對於這些星級飯店而言,現在都是拼命補破網的時候,除了找第三方團隊進行數位鑑識與調查外,對照幾間發生星級飯店其客戶的信用卡個資外洩時間點,大約都落在今年6月∼11月左右。

 

根據過往的經驗,在相同時間點,針對同一產業業者發動類似手法的攻擊,極有可能是來自同一個駭客組織,找到類似POS系統的漏洞,藉由該漏洞植入會竊取客戶信用卡卡號及個資的惡意程式。

 

北美區連鎖星級飯店POS系統可能潛藏的5大風險

 

如同全美第二大零售業者Target爆發客戶信用卡號含個資的資料外洩一樣,調查不公開,外界往往只能從有限的資訊中進行可能的推測。而Target當年外洩資料造成的損失,評估已經超過95億元。

 

以目前來看,北美地區星級連鎖飯店面臨的風險,第一個就是持卡人還在使用磁條信用卡。

 

臺灣幾年前因為詐騙太嚴重,磁條信用卡只需要簡單的工具就可以進行條碼側錄,為了遏止詐騙歪風,政府一聲令下,要求所有的銀行必須全部改成使用晶片金融卡或晶片信用卡,持卡人的資料都透過PKI的加密方式存放在晶片中。

 

因為磁條信用卡本身俱有容易被側錄和複製的特性,飯店提供的POS系統或刷卡裝置,只要沒注意,都可能成為有心人側錄磁條信用卡資料並偽造信用卡的脆弱環節。但是,以北美地區的磁條信用卡使用情況來看,由於這是整體國家金融體系的系統性風險,若要降低持卡人使用持條信用卡的風險,美國政府就必須如同臺灣政府一樣,有破斧沉舟的決心,在最短的時間內(臺灣是在一年內)全數更換成晶片金融卡和晶片信用卡,才可能降低相關的風險。

 

其次,第二種風險就是,許多POS系統仍採用已經停止支援或更新的微軟舊版作業系統。

 

微軟在201448日正式停止Windows XP的各種支援,並在2015714日,終止更新微軟Windows XP版的Microsoft Security Essentials免費防毒,也不再提供微軟XP版的Malicious Software Removal Tool (惡意程式移除工具),並確定在20161月,停止支援嵌入式版本的Windows XPWindows XP Embedded)。

 

由於許多POS系統從早期的DOS系統,升級到視窗操作的系統時,有許多企業都選擇採用微軟的作業系 ​​統,一旦,採用已經停止支援的微軟作業系 ​​統卻沒有升級計畫,意味著這種舊版的作業系 ​​統,系統面充滿種種可被駭客利用的漏洞。但在作業系 ​​統原廠已經放棄支援的情況下,持續使用者些舊版作業系 ​​統的業者,就形同明白暴露在明確的風險中。

 

以這些跨國星級飯店的IT作業系統更新的情況來看,應該都已經不再使用停止支援或更新的微軟舊版作業系統,但整個飯店的環境中,如果有少數還沒完成更新的POS系統時,都可能成為駭客入侵的缺口,藉此植入POS惡意程式,就可以竊取信用卡卡號或持卡人個資。

 

第三種風險就是,有部分星級飯店已經開始部分採用雲端POS系統而帶來的風險。

 

傳統的POS系統因為安裝在飯店的本機端,飯店的IT人員必須確保相關POS系統的安全性,但是當POS系統上雲端,成為一種可供選擇的SaaS(軟體即服務)服務時,相關的安全管控措施就必須由雲端POS業者提供。不過,雲端服務業者規模大小差異不同,也不是每一間雲端POS業者,都具有足夠的安全與風險意識。這也可能造成,某些星級飯店業者採用雲端POS時,在部分控管環節中,因為提供雲端POS服務業者的疏忽,而帶來異想不到的風險。

 

第四種風險,其實和POS製造商使用預設的萬年密碼有關係。

 

有資安研究人員發現,有某一家POS製造大廠過去25年來,都使用166816Z66816作為預設密碼,且有超過9成以上的POS使用者,並未更改這些預設密碼,其他的POS製造業者也發現,使用預設密碼超過9年,或者是沒有設定任何密碼。

 

在這些情況下,駭客只要取得其中一個品牌的預設密碼後,就有機會利用這個密碼輕易攻陷其他同樣品牌的POS系統,加上許多POS機的結構簡單,容易拆卸,也通常不會使用任何防毒系統,只要業者偷懶一點,將客戶的資訊都存放在這樣不安全的POS系統上,形同將客戶個資公開給駭客存取使用。

 

最後的風險,其實就是人為疏忽帶來的風險。

 

確保信用卡交易的安全性,要求業者必​​​​須取得PCI DSS認證,這個認證本身就有許多更細節的實作規定,與一些認證偏向是大範圍、準則性的規範有所不同。

 

但是,根據了解,PCI DSS認證是一年稽核一次,經過先前幾次星級飯店外洩信用卡資料的事件後,發卡組織就發現,因為PCI DSS一年只有稽核一次,到了年中時,許多的規範遵循的程度就開始變得鬆散,也意味著,有更多人為因素帶來的疏失,可能導致POS系統被植入惡意程式、信用卡資料外洩的風險。

 

為了解決這樣的風險,發卡組織也決定,在年中採用隨機抽驗的方式,進一步提升PCI DSS認證對於確保信用卡交易安全性的正面效果。

 

由於,目前相關的案例都還在調查中,現階段,只能就幾種可能的風險進一步分析。但可以確定的是,要確保信用卡交易安全,是需要許多環節的相互配合,例如,採用更安全的晶片信用卡,安全的POS作業系 ​​統與確認POS機更新預設的不安全密碼,以及安全的交易認證過程等,唯有各個面向都做到環環相扣,這些飯店業者才能夠提供消費者更安全的信用卡交易服務。

《參考來源》ithome/黃彥棻




 
上一筆>> 他發明了電動滑板車,受益者卻是山寨廠商。
下一筆>> 臺韓專利審查合作邁入新階段!臺韓專利優先權證明文件電子交換(PDX)作業即將於明(105)年1月1日正式啟動
 
本區最新資訊

<< 回智財權與資安最新訊息