在本文開頭,我們先來看一張圖,對,就是下面這張圖:
圖中是自動售貨機,相信大家都很眼熟了。不論是公司樓下,街頭巷尾,還是火車站、機場,都有自動售貨機的身影,它大大方便了我們的生活。但是就是這么一臺機器,所連接的網絡其實也很復雜。而機器一旦被入侵,那些年你曾刷過的卡、按過的指紋,都可能被黑客竊取。
美國一家自動售貨機供應商 Avanti Markets 日前就遭遇了這樣的困境:黑客入侵了其內網,在終端支付設備中植入惡意軟件,并竊取了用戶信用卡賬戶以及生物特征識別數據等個人信息。
這個公司的售貨機大多分布在各大休息室,售賣飲料、零食等副食品,顧客可以用信用卡支付、指紋掃描支付或現金支付的方式買單。Avanti Markets的用戶多達160萬。
事發后,Avanti Markets 在自家網站上發布了一則《數據泄露通告》:
2017年7月4日,我們發現內網遭到了棘手的惡意軟件攻擊,影響到部分自動售貨機。就目前調查結果來看,盡管我們沒有完全確認入侵原因,但可以確認黑客利用了惡意軟件從某些自動售貨機入手,在未經授權的情況下訪問了用戶個人信息。所幸我們的自動售貨機的安裝方式和使用方法不盡相同,因此只有部分用戶信息泄露,其他用戶尚未受到影響。
Avanti 表示,惡意軟件目的就是搜集一些支付卡信息,包括持卡人的姓名、信用卡/借記卡卡號、到期日期甚至郵箱地址等。此外,如果有用戶在被攻擊的自動售貨機上使用指紋支付功能,那么指紋這種生物特征識別信息也有可能被竊取。
遭受攻擊后,Avanti內部響應小組采取了修改密碼等措施,保護系統安全。某些地區受影響的自動售貨機支付系統暫時關閉,同時正在排查并移除惡意軟件。Avanti 表示已經開始走法律程序,并計劃為受影響的用戶提供信用監測服務、開通響應熱線。
我們會不斷確認并修正隱私保護和數據保護政策和實施過程,以防止此類事件再次發生。現在我們正針對所有的自動售貨機實施端到端加密方案,并在加速執行。但是,數據竊取以及類似的攻擊都很難預防,我們會檢查系統并加以改進,盡最大可能避免此類事情再次發生。
又是 PoSeidon 搞的鬼?
根據某位匿名者提供的消息, Avanti 其實并沒有采取任何安全措施保護數據安全,連基本的 P2P 加密都沒有做到:
聽說大約有一半的自動售貨機沒有采取 P2P 加密措施。
P2P加密就是端到端加密,是一項在銀行卡交易終端中加密信用卡信息等敏感數據的技術。理論上, 在終端上存在惡意或可疑軟件時,P2P 加密技術也能保護銀行卡數據安全。
Anvanti 并沒有在通告中公布惡意軟件的名字。不過7月7日,安全研究員 Brian Krebs 在博客中聲明,有一個叫做 PoSeidon(FindPOS) 的惡意軟件可能用在了此次 Avanti 攻擊中。
PoSeidon 是一種內存搜讀軟件,可以直接從 POS 系統的內存中讀取并竊取數據。據稱,俄羅斯黑客曾利用這個惡意軟件攻擊全球支付系統。2015年,思科最先檢測到 PoSeidon ,當時研究人員將其定義為最復雜的POS惡意軟件。
而 Brian Krebs 及其同事則表示,此次Avanti 攻擊中,他們所檢測到的惡意流量與2015年思科對 PoSeidon 的分析流量匹配,而且利用了相同的 SSL 證書。
這是 IoT 網絡攻擊的教科書般的案例。聯網的終端設備交由第三方控制和維護,導致己方 IT 工作人員很難對設備進行修復、審查或控制。
IoT 與生物特征識別
事實上,售貨終端以及支付終端等IoT設備遭遇入侵在近幾年似乎已成為家常便飯。支付卡機器以及POS終端之所以備受黑客歡迎,主要是因為從這里竊取到的數據很容易變現。遺憾的是,POS終端廠商總是生產一批批不安全的產品,而且只在產品上市發布之后才考慮到安全問題。
近些年,隨著指紋識別和人臉識別技術大肆興起,這些廠商也開始采用這種技術,并鼓勵用戶使用。他們認為采用這種生物識別技術就能確保安全,而且簡單好用。
然而,銀行卡可以重新申請,但生物特征識別信息是伴隨人一輩子的,一旦泄露,后果更加嚴重。此次 Avanti 攻擊反響如此巨大的原因,也是因為用戶的生物特征識別信息(主要是指紋)被黑客竊取。假如匹配到個人信息,那么以后被竊取的用戶都不能再用相同的指紋進行加密了,否則分分鐘都能被破解。因此,專家認為,使用生物特征識別技術的公司應當遵循更高級別的安全標準。
對于新采用生物信息識別技術的公司而言,任何需求、存儲或傳輸生物特征數據的設備至少應確保數據在保存和傳輸過程中保持高強度加密。在更多的獨立付款應用程序使用生物識別技術之前,最好能出臺一些行業標準。但可怕的是,在安全措施不到位的情況下,生物識別元素很快將會應用到到所有 IoT 設備中,這不能不令人擔憂。
此外,Avanti 攻擊也表明了十分重要的一點:公司應當將內網分組,并將支付系統與其他網絡完全隔離。顯然,此前受攻擊的一些POS終端公司都并未采取這種重要的預防措施。而在內網未分組的情況下,Avanti事件的黑客如果使用遠程攻擊,將惡意軟件植入到與自動售貨機使用相同內網的Microsoft Windows計算機中,那么這些黑客又能多撈一筆了。
現在,除了指紋支付,還有聲稱安全級別很高的指紋加密、人臉識別加密甚至虹膜加密等技術。如今人手一部甚至幾部的手機大多能使用指紋識別。那么下一次,我們在大肆享用指紋支付等生物特征信息識別技術的同時,也許要問問自己,這樣到底是更安全還是更不安全呢?
*參考來源:krebsonsecurity, securityaffairs 等,AngelaY 編譯,轉載請注明來自 FreeBuf.COM
京公網安備 11010502049343號