聯迪智能POS漏洞事件,究竟打了誰的臉?

2017-11-01 01:44:00 原作者: 張盒子 來自: 支付之家網 收藏 邀請

文章首發于公眾號支付之家網

微信丨ZFZJCN

網址丨www.cbjfka.tw


支付之家網(www.cbjfka.tw) 10月31日,銀行卡檢測中心在其官網發布了一份聲明,聲明表示對聯迪A8智能POS終端漏洞事件,經調查分析后認為聯迪公司實際布放的A8終端與檢測留樣終端雖然型號相同,但是固件版本不一致,實際布放的該型號終端應用驗證方式由本地數字簽名驗證改為了遠程服務器驗證,且報文防篡改機制不健全,存在較為嚴重的安全漏洞,未按照銀聯卡受理終端設備安全認證規則備案并提交差異化測評。


(銀行卡檢測中心聲明全文)


銀行卡檢測中心所提到的事件就是10月24日,在GeekPwn2017極客大賽上,來自盤古實驗室的選手對市面上的拉卡拉支付公司云POS智能終端(實際為聯迪公司的A8智能終端)進行了現場攻擊演示。演示人員突破應用驗證機制在終端上安裝了木馬程序,基于終端操作系統漏洞獲取了系統高級權限,從而獲得銀行卡的交易PIN和磁道數據,并實施磁條卡偽卡復制。


支付之家網針對以上事件的第一篇報道《拉卡拉POS機被爆重大安全漏洞,刷過的銀行卡輕易被盜刷!(注:因盤古團隊所列產品為拉卡拉云POS,所以此處標題暫未提及聯迪A8)。隨后次日,也就幾個問題發布了一篇簡單的回復《不是聲明丨關于拉卡拉POS(聯迪A8)漏洞事件的6點回復》。


其實,此次智能POS漏洞事件絕對是行業喜事,在沒有實際風險發生的情況下,進行了一次危機事件的預演。只不過可惜的是,參演的人似乎把它演砸了。


盤古:我攻破了拉卡拉的智能POS機,并且成功的實施了銀行卡的復制盜刷。


(在輿論尚未發酵前,涉事各方保持了一貫的沉默,直到2號一早我們推送了一篇文章……)


拉卡拉:大哥冤枉,那個POS機不是我們生產的啊!我們是看在這款POS機既通過銀行卡檢測中心的檢測又獲得銀聯的入網許可才使用的。如果有錯那都是聯迪的錯,我們準備不再買聯迪的這款POS機了!


(拉卡拉成功的把銀行卡檢測中心和銀聯牽扯進來了,還成功的將聯迪公司推到了輿論的風口浪尖上)


銀聯:大家不要擔心,風險都是可控的!芯片卡最安全了,大家快去換芯片卡。


(作為還在使用磁條卡的我表示有點被他們拋棄了)


聯迪:啊?你們為什么都在議論我?我的頭上怎么有口鍋?非要我說,那我先感謝一下盤古大哥吧。還不滿意啊,那我也發個聲明!銀聯說的都對,大家不要擔心,風險是可控的,我們現在的防護機制完全可以保證安全。


(大家都以為熱度慢慢退去,這件事就這么過去了,沒想到檢測中心并不想這樣頂鍋)


銀行卡檢測中心:呵呵,拉卡拉把鍋甩給我?經過我仔細的研究后發現都是聯迪這小子的錯!聯迪公司竟然偷偷換了固件版本,完全和當時報檢的版本不一樣好不好?


持卡人:黑?人?問?號?臉?什么情況?好吧,那我不刷卡了。


一言不合就發聲明,可到頭來怎么收場呢?難不成變成一場鬧劇?相信后續一定會有大BOSS出面給大家一個交代的。


到目前基本上可以確定聯迪公司有不可推卸的責任,不過其他涉事方呢?


根據中國人民銀行發布的《關于進一步加強銀行卡風險管理的通知》(銀發[2016]170號)中對受理終端安全管理就有明確的要求,如下。


(銀發[2016]170號)


不僅如此,在人民銀行今年初發布的《銀行卡受理終端安全管理的通知》(銀發[2017]21號)中進一步提到了強化銀行卡受理終端產品質量管理,如下。


(銀發[2017]21號)


注:需要以上兩個文件PDF版本的請加微信zfzjcc獲取


央媽為了讓你的銀行卡用的更安全,可謂是操碎了心!


有心的小伙伴應該能從上面兩個文件中看出端倪,關于銀聯和銀行卡檢測中心我們不太方便評說,可至少作為收單機構的拉卡拉在此次事件中并非是其聲明中所說的沒有一點責任。


170號文里說支付機構應從受理終端產品選型、驗收、現場檢查等環節加強安全管理,確保受理終端的技術標準符合性。那么,這些工作拉卡拉有沒有做到呢?


21號文里說使用質量不合格的受理終端導致客戶信息泄露或資金損失的,支付機構應依法承擔相應賠償責任。


總之,拉卡拉雖然反應迅速回應及時,但仍需要正視自己的問題,不能把鍋甩的這么徹底。


在10月27日晚些時候,我曾發了一段朋友圈,說希望可以借此事件建立支付行業不合格產品有效的召回機制,明確各個參與方在重大安全事件中的責任劃分,而不是迫于輿情的壓力而去發一些逃避責任的聲明。


(個人朋友圈)


我相信聯迪A8的漏洞事件絕非個案。


聯迪公司的其他產品是否有類似問題?其他終端廠商是不是也存在問題?實際銷售的終端與過檢終端不一致是不是一個普遍現象?磁條卡就不能用了嗎?磁條卡不安全為什么不強制讓銀行盡快更換?收單機構是否存在為了降低成本故意采購不合格的產品?那些已經采購了聯迪A8的收單機構為什么躲在拉卡拉后面集體失聲?市場中還有多少不合格終端沒有被發現?


有問題真的不可怕,最可怕的是問題發生以的眾生相!



編后語:

前兩天我寫了一篇關于盒子的文章,自認為還算中肯。沒想到的是文章發布以后,非盒子支付的代理商說我收了錢強行為盒子洗白,盒子支付的代理商說我惡意中傷蹭盒子的熱度,甚至于更有來自XX方面的領導要求我刪除稿子。

想到一句話,“小孩才分對錯,大人只看利弊”,可我反而是希望我們都能變成只分對錯而不看利弊的人吧!

最后,愿行業更好!



- - - - - - - - - -

作者丨張盒子

責編丨陳晨(微信zfzjcc)

支付之家網(www.cbjfka.tw)

*文章為作者獨立觀點,不代表支付之家網立場*

剛表態過的朋友 (0 人)

該文章已有5人參與評論

請發表評論

全部評論

    • 引用 hq545341621 2019-5-5 14:51
      1.信用卡代還系統開發,費率0.29%起;
      養卡 代還系統開發,如91管家,今日還款,51信用卡管家等類似系統
      2.全新的空卡墊支(客戶0預存),加入查詢運營商+導入手機聯系人功能,風險比例降低3%。
      3.快捷支付系統,線上pos機,無限裂變;
      4.積分兌換系統,銀行卡積分兌換現金。
      5.貸超系統:網貸 信用卡 大數據 卡醫生等都功能系統;
      6.大數據系統:比如橙子信用,蘑菇信用等,3級分銷定制開發;
      7. 四方代付系統開發,四方平臺下發資金。
      8. 現金貸系統開發
      9. 信用卡借款系統開發,如還唄,小贏卡貸。
      10. 代還+中介養卡系統開發。中介養卡一個APP可以綁定不同客戶的信用卡,APP可以直接設置計劃還款,無需中介繁瑣操作,節約人工成本。
      軟件開發咨詢加微hq545341621
    • 引用 spericlee 2018-1-24 16:46
      任何系統都會有漏洞,缺少的是及時打補丁的良心廠家!!!
    • 引用 EPayMan 2017-11-1 09:30
      安卓漏洞都有吧,頂尖黑客都搞了那么久,應該沒有那么容易破解吧?  沒有絕對的安全,不能因噎廢食,智能POS還是大大方便了人們的生活的。

查看全部評論>>

精彩閱讀

排行榜

支付之家官方訂閱

掃碼微信公眾號
給你想要與成長

中國金融支付行業門戶網站
80027302
周一至周五 9:00-21:00
意見反饋:[email protected]

掃一掃關注我們

魯公網安備 37010202000950號  魯ICP備16029435號-1

©2017-2018 支付之家網(www.cbjfka.tw)  

2019新版跑狗图出什么