请选择 进入手机版 | 继续访问电脑版

联迪智能POS漏洞事件,究竟打了谁的脸?

2017-11-01 01:44:00 原作者: 张盒子 来自: 支付之家网 收藏 邀请

文章首发于公众号支付之家网

微信丨ZFZJCN

网址丨WWW.ZFZJ.CN


支付之家网(WWW.ZFZJ.CN) 10月31日,银行卡检测中心在其官网发布了一份声明,声明表示对联迪A8智能POS终端漏洞事件,经调查分析后认为联迪公司实际布放的A8终端与检测留样终端虽然型号相同,但是固件版本不一致,实际布放的该型号终端应用验证方式由本地数字签名验证改为了远程服务器验证,且报文防篡改机制不健全,存在较为严重的安全漏洞,未按照银联卡受理终端设备安全认证规则备案并提交差异化测评。


(银行卡检测中心声明全文)


银行卡检测中心所提到的事件就是10月24日,在GeekPwn2017极客大赛上,来自盘古实验室的选手对市面上的拉卡拉支付公司云POS智能终端(实际为联迪公司的A8智能终端)进行了现场攻击演示。演示人员突破应用验证机制在终端上安装了木马程序,基于终端操作系统漏洞获取了系统高级权限,从而获得银行卡的交易PIN和磁道数据,并实施磁条卡伪卡复制。


支付之家网针对以上事件的第一篇报道《拉卡拉POS机被爆重大安全漏洞,刷过的银行卡轻易被盗刷!(注:因盘古团队所列产品为拉卡拉云POS,所以此处标题暂未提及联迪A8)。随后次日,也就几个问题发布了一篇简单的回复《不是声明丨关于拉卡拉POS(联迪A8)漏洞事件的6点回复》。


其实,此次智能POS漏洞事件绝对是行业喜事,在没有实际风险发生的情况下,进行了一次危机事件的预演。只不过可惜的是,参演的人似乎把它演砸了。


盘古:我攻破了拉卡拉的智能POS机,并且成功的实施了银行卡的复制盗刷。


(在舆论尚未发酵前,涉事各方保持了一贯的沉默,直到2号一早我们推送了一篇文章……)


拉卡拉:大哥冤枉,那个POS机不是我们生产的啊!我们是看在这款POS机既通过银行卡检测中心的检测又获得银联的入网许可才使用的。如果有错那都是联迪的错,我们准备不再买联迪的这款POS机了!


(拉卡拉成功的把银行卡检测中心和银联牵扯进来了,还成功的将联迪公司推到了舆论的风口浪尖上)


银联:大家不要担心,风险都是可控的!芯片卡最安全了,大家快去换芯片卡。


(作为还在使用磁条卡的我表示有点被他们抛弃了)


联迪:啊?你们为什么都在议论我?我的头上怎么有口锅?非要我说,那我先感谢一下盘古大哥吧。还不满意啊,那我也发个声明!银联说的都对,大家不要担心,风险是可控的,我们现在的防护机制完全可以保证安全。


(大家都以为热度慢慢退去,这件事就这么过去了,没想到检测中心并不想这样顶锅)


银行卡检测中心:呵呵,拉卡拉把锅甩给我?经过我仔细的研究后发现都是联迪这小子的错!联迪公司竟然偷偷换了固件版本,完全和当时报检的版本不一样好不好?


持卡人:黑?人?问?号?脸?什么情况?好吧,那我不刷卡了。


一言不合就发声明,可到头来怎么收场呢?难不成变成一场闹剧?相信后续一定会有大BOSS出面给大家一个交代的。


到目前基本上可以确定联迪公司有不可推卸的责任,不过其他涉事方呢?


根据中国人民银行发布的《关于进一步加强银行卡风险管理的通知》(银发[2016]170号)中对受理终端安全管理就有明确的要求,如下。


(银发[2016]170号)


不仅如此,在人民银行今年初发布的《银行卡受理终端安全管理的通知》(银发[2017]21号)中进一步提到了强化银行卡受理终端产品质量管理,如下。


(银发[2017]21号)


注:需要以上两个文件PDF版本的请加微信zfzjcc获取


央妈为了让你的银行卡用的更安全,可谓是操碎了心!


有心的小伙伴应该能从上面两个文件中看出端倪,关于银联和银行卡检测中心我们不太方便评说,可至少作为收单机构的拉卡拉在此次事件中并非是其声明中所说的没有一点责任。


170号文里说支付机构应从受理终端产品选型、验收、现场检查等环节加强安全管理,确保受理终端的技术标准符合性。那么,这些工作拉卡拉有没有做到呢?


21号文里说使用质量不合格的受理终端导致客户信息泄露或资金损失的,支付机构应依法承担相应赔偿责任。


总之,拉卡拉虽然反应迅速回应及时,但仍需要正视自己的问题,不能把锅甩的这么彻底。


在10月27日晚些时候,我曾发了一段朋友圈,说希望可以借此事件建立支付行业不合格产品有效的召回机制,明确各个参与方在重大安全事件中的责任划分,而不是迫于舆情的压力而去发一些逃避责任的声明。


(个人朋友圈)


我相信联迪A8的漏洞事件绝非个案。


联迪公司的其他产品是否有类似问题?其他终端厂商是不是也存在问题?实际销售的终端与过检终端不一致是不是一个普遍现象?磁条卡就不能用了吗?磁条卡不安全为什么不强制让银行尽快更换?收单机构是否存在为了降低成本故意采购不合格的产品?那些已经采购了联迪A8的收单机构为什么躲在拉卡拉后面集体失声?市场中还有多少不合格终端没有被发现?


有问题真的不可怕,最可怕的是问题发生以的众生相!



编后语:

前两天我写了一篇关于盒子的文章,自认为还算中肯。没想到的是文章发布以后,非盒子支付的代理商说我收了钱强行为盒子洗白,盒子支付的代理商说我恶意中伤蹭盒子的热度,甚至于更有来自XX方面的领导要求我删除稿子。

想到一句话,“小孩才分对错,大人只看利弊”,可我反而是希望我们都能变成只分对错而不看利弊的人吧!

最后,愿行业更好!



- - - - - - - - - -

作者丨张盒子

责编丨陈晨(微信zfzjcc)

支付之家网(WWW.ZFZJ.CN)

*文章为作者独立观点,不代表支付之家网立场*

刚表态过的朋友 (0 人)

该文章已有3人参与评论

请发表评论

全部评论

    • 引用 spericlee 2018-1-24 16:46
      任何系统都会有漏洞,缺少的是及时打补丁的良心厂家!!!
    • 引用 EPayMan 2017-11-1 09:30
      安卓漏洞都有吧,顶尖黑客都搞了那么久,应该没有那么容易破解吧?  没有绝对的安全,不能因噎废食,智能POS还是大大方便了人们的生活的。

查看全部评论>>

精彩阅读

排行榜

支付之家官方订阅

扫码微信公众号
给你想要与成长

中国金融支付行业门户网站
80027302
周一至周五 9:00-21:00
意见反馈:zql@zfzj.cn

扫一扫关注我们

鲁公网安备 37010202000950号  鲁ICP备16029435号-1

©2017-2018 支付之家网(www.zfzj.cn)