联迪智能POS漏洞事件,究竟打了谁的脸?

2017-11-01 01:44:00 原作者: 张盒子 来自: 支付之家网 收藏 邀请

文章首发于公众号支付之家网

微信丨ZFZJCN

网址丨www.ovukh.club


支付之家网(www.ovukh.club) 10月31日,银行卡检测?#34892;?#22312;其官网发布了一份声明,声明表示对联迪A8智能POS终端漏洞事件,经调查分析后认为联迪公司?#23548;?#24067;放的A8终端与检测留样终端虽然型号相同,但是固件版本不一致,?#23548;?#24067;放的该型号终端应用验证方式由本地数?#26234;?#21517;验证改为了远程服务器验证,且报文?#26469;?#25913;机制不健全,存在较为严重的安全漏洞,未按照银联卡受理终端设备安全认证规则备案并提交差异化测?#39304;?/p>


(银行卡检测?#34892;?#22768;明全文)


银行卡检测?#34892;?#25152;提到的事件就是10月24日,在GeekPwn2017极客大赛上,来自盘古实验室的选手对市面上的拉卡拉支付公司云POS智能终端(?#23548;?#20026;联迪公司的A8智能终端)进行了现场攻击演示。演示人员突破应用验证机制在终端上安装了木马程序,基于终端操作系统漏洞获取了系统高级权限,从而获得银行卡的交易PIN和磁道数据,并实施?#30424;?#21345;伪卡复制。


支付之家网针对以上事件的第一篇报道《拉卡拉POS机被爆重大安全漏洞,刷过的银行卡轻易被?#20102;ⅲ?/a>》(注:因盘古团队所列产品为拉卡拉云POS,所以此处标题暂未提及联迪A8)。随后次日,也就几个问题发布了一篇简单的回复《不是声明丨关于拉卡拉POS(联迪A8)漏洞事件的6点回复》。


其实,此次智能POS漏洞事件绝对是行?#36842;?#20107;,在没有?#23548;?#39118;险发生的情况下,进行了一次危机事件的预演。只不过可惜的是,参演的人似乎把它演砸了。


盘古:我攻破了拉卡拉的智能POS机,并?#39029;?#21151;的实施了银行卡的复制?#20102;ⅰ?/span>


(在舆论尚未发酵前,涉事各方保持了一贯的沉默,直到2号一早我们推送了一篇文章……)


拉卡拉:大哥冤枉,那个POS机不是我们生产的啊!我们是看在这款POS机既通过银行卡检测?#34892;?#30340;检测又获得银联的入网许可才使用的。如果有错那都是联迪的错,我们准备不再买联迪的这款POS机了!


(拉卡拉成功的把银行卡检测?#34892;?#21644;银联牵扯进来了,还成功的将联迪公司推到了舆论的风口浪尖上)


银联:大家不要担心,风险都是可控的!芯片卡最安全了,大家快去换芯片卡。


(作为还在使用?#30424;?#21345;的我表示有点被他们抛弃了)


联迪:啊?你们为什么都在议论我?我的头上怎么有口锅??#19988;?#25105;?#25285;?#37027;我先?#34892;?#19968;下盘古大哥吧。还不满意啊,那我也发个声明!银联说的都对,大家不要担心,风险是可控的,我们现在的防护机制完全可以保证安全。


(大家都以为热度慢慢退去,这件事就这么过去了,没想到检测?#34892;?#24182;不想这样顶锅)


银行卡检测?#34892;模?/span>呵?#29301;?#25289;卡拉把锅甩给我?经过?#26131;?#32454;的研究后发现都是联迪这小子的错!联迪公司竟然偷偷换了固件版本,完全和当时报检的版本不一样好不好?


持卡人:黑?人?问?号?脸?什么情况?好吧,那我不刷卡了。


一言不合就发声明,可到头来怎么收场呢?难不成变成一场闹剧?相信后续一定会有大BOSS出面给大家一个交代的。


到目前基本上可以确定联迪公司有不可推卸的责?#21361;?#19981;过其他涉事方呢?


根据中国人民银行发布的《关于进一步加强银行卡风险管理的通知》(银发[2016]170号)中对受理终端安全管理就有明确的要求,如下。


(银发[2016]170号)


不仅如此,在人民银行今年初发布的《银行卡受理终端安全管理的通知》(银发[2017]21号)中进一步提到了强化银行卡受理终端产?#20998;?#37327;管理,如下。


(银发[2017]21号)


注?#30418;?#35201;以上两个文件PDF版本的请加微信zfzjcc获取


央妈为了让你的银行卡用的更安全,可谓是操碎了心!


有心的小伙伴应该能从上面两个文件中看出端倪,关于银联和银行卡检测?#34892;?#25105;们不太方便评?#25285;?#21487;至少作为收单机构的拉卡拉在此次事件中并非是其声明中所说的没有一点责任。


170号文里说支付机构应从受理终端产品选型、验收、现场检查?#28982;方?#21152;强安全管理,确保受理终端的?#38469;?#26631;准符合性。那么,这些工作拉卡拉有没有做到呢?


21号文里说使用质量不?#32454;?#30340;受理终端导致客户信息泄露或资金损失的,支付机构应依法承担相应赔偿责任。


总之,拉卡拉虽然反应迅速回应及?#20445;?#20294;仍需要正视自己的问题,不能把锅甩的这么彻底。


在10月27日晚些时候,?#20197;?#21457;了一段朋友圈,?#36842;?#26395;可以借此事件建立支付行业不?#32454;?#20135;品有效的召回机制,明确各个参与方在重大安全事件中的责任划分,而不是迫于舆情的压力而去发一些逃避责任的声明。


(个人朋友圈)


我相信联迪A8的漏洞事件绝非个案。


联迪公司的其他产品是否有类似问题?其他终端厂商是不是也存在问题??#23548;?#38144;售的终端与过检终端不一致是不是一个普遍现象?#30475;盘?#21345;就不能用了吗?#30475;盘?#21345;不安全为什么不强制让银行尽快更换?收单机构是否存在为了降低成?#31455;室?#37319;购不?#32454;?#30340;产品?那些已经采购了联迪A8的收单机构为什么躲在拉卡拉后面集体失声?市场中还有多少不?#32454;?#32456;端没有被发现?


有问题真的不可怕,最可怕的是问题发生以的众生相!



编后语:

前两天我写了一篇关于盒子的文章,自认为还算中肯。没想到的是文章发布以后,非盒子支付的代理商说我收了钱强行为盒子洗白,盒子支付的代理商说我恶意中伤蹭盒子的热度,甚至于更有来自XX方面的领?#23478;?#27714;我删除稿子。

想到一句话,“小孩才分对错,大人只看利弊?#20445;?#21487;我反而是希望我们都能变成只分对错而不看利弊的人吧!

最后,愿行业更好!



- - - - - - - - - -

作者丨张盒子

责编丨陈晨(微信zfzjcc)

支付之家网(www.ovukh.club)

*文章为作者独立观点,不代表支付之家网立场*

刚表态过的朋友 (0 人)

该文章已有5人参与评论

请发表评论

全部评论

    • 引用 hq545341621 2019-5-5 14:51
      1.信用卡代还系统开发,费率0.29%起;
      养卡 代还系统开发,如91管家,今日还款,51信用卡管家等类似系统
      2.全新的空卡垫支(客户0预存),加入查询运营商+导入手机联系人功能,风险比例降低3%。
      3.快捷支付系统,线上pos机,无限裂变;
      4.积分?#19968;?#31995;统,银行卡积分?#19968;?#29616;金。
      5.贷超系统:网贷 信用卡 大数据 卡医生等都功能系统;
      6.大数据系统:比如橙?#26377;?#29992;,蘑菇信用等,3级分销定制开发;
      7. 四方代付系统开发,四方平台下发资金。
      8. 现金贷系统开发
      9. 信用卡借款系统开发,如还呗,小赢卡贷。
      10. 代还+中介养卡系统开发。中介养卡一个APP可以绑定不同客户的信用卡,APP可以直接设置计划还款,无需中介繁琐操作,节约人工成本。
      软件开发咨询加微hq545341621
    • 引用 spericlee 2018-1-24 16:46
      任何系统都会有漏洞,缺少的是及时打补丁的良心厂家!!!
    • 引用 EPayMan 2017-11-1 09:30
      安卓漏洞都有吧,顶尖黑客?#20960;?#20102;那么久,应该没有那么容易破解吧?  没有绝对的安全,不能因噎废食,智能POS还是大大方便了人们的生活的。

查看全部评论>>

精彩阅读

排行榜

支付之家官方订阅

扫码微信公众号
给你想要与成长

中国金融支付行业门户网站
80027302
周一至周五 9:00-21:00
意见反馈:[email protected]

扫一扫关注我们

鲁公网安备 37010202000950号  鲁ICP备16029435号-1

©2017-2018 支付之家网(www.ovukh.club)  

吃鸡游戏名字女