https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

美國9家餐廳客戶信用卡資料被駭 集體告POS系統商

2009 / 12 / 04
魏紜鈴整理
美國9家餐廳客戶信用卡資料被駭 集體告POS系統商

美國路易斯安那州和密西西比州的9個餐廳,對美國POS(Point of Sales system,銷售點管理系統)系統商Radiant Systems和他的經銷商提出告訴,控告他們的POS系統在交易流程出了問題,並導致駭客有機可趁,使餐廳客戶的信用卡資料外洩。

POS系統常被服務業應用,無論是便利商店付款、飲料店點飲料、連鎖服飾店向分店調貨,這些都建構在POS系統上。它透過自動讀取機制讓商品交易銷售過程簡便,並將資訊透過網路傳送給相關部門分析以提高經營效率。

這起集體訴訟的餐廳業者們指出,他們的銷售系統皆符合支付卡資料應用安全標準(PCI-DSS),懷疑是因為Radiant Systems的Aloha POS系統遭駭客攻擊,才會造成他們營業損失,而這時間已經長達1年半之久。去年底的兩個月內,密西根州的一家泡菜餐廳就有150名客戶的信用卡資料被盜,因為未能挽回客戶的信心,該公司在今年6月結束營業。同一時間俄州的Ted''s Café的POS系統也傳被駭。

外傳,駭客之所以能夠入侵,問題點是出自遠端維護連線的軟體都使用相同的帳戶和密碼,未更新帳密的原因可能是為了讓維護廠商透過慣用帳密,方便登入維護才沒有更改,但這個部份已經違反PCI規定。而駭客便是在專用的區域網絡上,利用sniffer程式竊取客戶們的信用卡資料。然而無論這些餐廳業者是否已經移除該遠端維護的軟體,或餐廳業者是否已採用商業級的防火牆,這個駭客入侵的漏洞導致客戶資料遭竊、商譽受損的傷害,已經造成。

(圖片來源:http://www.javaeye.com/news/1708)