Declaratia vine dupa ce initial compania a negat ca sistemul sau de plati ExpressPay ar putea fi pacalit. Cercetatorii in securitate au anuntat la inceputul acestei saptamani ca oricine cu un hardware mai performant si cunostinte tehnice ar putea utiliza serviciile FedEx Kinko gratuit sau chiar pentru a obtine bani de la companie.

"Continuand evaluarea afirmatiilor facute, nu credem ca exista nici un risc semnificativ pentru companie datorita controlorilor si securitatii noastre", a decalrat un purtator de cuvant al companiei FedEx. "Cel mai important este ca problema nu are nici un impact asupra clientilor nostri".

Cercetatorii companiei de securitate Secure Science au declarat ca sistemul de plati ar putea fi spart datorita securitatii sale limitate. Secure Science a trimis un e-mail unei populare liste de mailing continand o descriere detaliata a atacului.

Cercetatorii au raspuns negarii initiale a FedEx prin postarea unei fotografii, precum si a unei inregistrari video pe Web pentru a demonstra bresa de securitate. Fotografia arata un card de plata FedEx Kinko cu o valoare de 313.37$, in timp ce Kinko permite valori de pana la 100$, iar inregistrarea video arata cum un cercetator schimba serial number-ul unui card, crescand valoarea acestuia.

Sistemul de plati utilizeaza chip carduri care poate fi incarcate cu bani. Cercetatorii au descoperit ca datele stocate pe card sunt reinscriptionabile odata ce codul de securitate este descoperit. Nici o data de pe card, inclusiv codul sau de securitate, nu este criptata.
Obtinerea codului de securitate necesita o oarecare munca. "Prin conectarea unor fire la punctele de contact si prin conectarea acestor fire la un analizator logic ieftin, un atacator poate obtine codul, iar cu un card terminal poate sa scrie date pe card".

In plus, codul de securitate pare a fi acelasi pentru toate cardurile ExpressPay ale FedEx Kinko. Acest lucru ar putea usura munca fraudatorilor, daca codul ajunge cumva pe Web.

Cardul modificat ar putea fi folosit pentru a obtine servicii gratuite sau chiar pentru a retrage banii, potrivit cercetatorilor Secure Science.
Sistemul FedEx Kinko a fost dezvoltat de fima canadiana enTrac Technologies. Sistemele similare ar putea fi si ele vulnerabile.

Secure Science sugereaza cativa pasi pentru securizarea sistemului de plati:
- criptarea datelor inainte de a fi stocate pe card, sau migrarea la alt sistem care utilizeaza carduri cu functionalitate de criptare incorporata.
- verificarea ca valorea stocata pe card sa nu difere semnificativ de o valoare de referinta stocata intr-o baza de date.
- nepermiterea utilizarii de carduri cu serial number imvalid.
- invalidarea serial numerelor ale cardurilor care au fost incasate.