Sistemul de plata prin card Kinko al FedEx este vulnerabil

FedEx a anuntat saptamana trecuta ca o vulnerabilitate de securitate in sistemul sau de plata prin card utilizat in magazinele sale FedEx Kinko nu constituie un risc de securitate important pentru companie si nici un risc pentru clientii sai.

Declaratia vine dupa ce initial compania a negat ca sistemul sau de plati ExpressPay ar putea fi pacalit. Cercetatorii in securitate au anuntat la inceputul acestei saptamani ca oricine cu un hardware mai performant si cunostinte tehnice ar putea utiliza serviciile FedEx Kinko gratuit sau chiar pentru a obtine bani de la companie.

"Continuand evaluarea afirmatiilor facute, nu credem ca exista nici un risc semnificativ pentru companie datorita controlorilor si securitatii noastre", a decalrat un purtator de cuvant al companiei FedEx. "Cel mai important este ca problema nu are nici un impact asupra clientilor nostri".

Cercetatorii companiei de securitate Secure Science au declarat ca sistemul de plati ar putea fi spart datorita securitatii sale limitate. Secure Science a trimis un e-mail unei populare liste de mailing continand o descriere detaliata a atacului.

Cercetatorii au raspuns negarii initiale a FedEx prin postarea unei fotografii, precum si a unei inregistrari video pe Web pentru a demonstra bresa de securitate. Fotografia arata un card de plata FedEx Kinko cu o valoare de 313.37$, in timp ce Kinko permite valori de pana la 100$, iar inregistrarea video arata cum un cercetator schimba serial number-ul unui card, crescand valoarea acestuia.

Sistemul de plati utilizeaza chip carduri care poate fi incarcate cu bani. Cercetatorii au descoperit ca datele stocate pe card sunt reinscriptionabile odata ce codul de securitate este descoperit. Nici o data de pe card, inclusiv codul sau de securitate, nu este criptata.
Obtinerea codului de securitate necesita o oarecare munca. "Prin conectarea unor fire la punctele de contact si prin conectarea acestor fire la un analizator logic ieftin, un atacator poate obtine codul, iar cu un card terminal poate sa scrie date pe card".

In plus, codul de securitate pare a fi acelasi pentru toate cardurile ExpressPay ale FedEx Kinko. Acest lucru ar putea usura munca fraudatorilor, daca codul ajunge cumva pe Web.

Cardul modificat ar putea fi folosit pentru a obtine servicii gratuite sau chiar pentru a retrage banii, potrivit cercetatorilor Secure Science.
Sistemul FedEx Kinko a fost dezvoltat de fima canadiana enTrac Technologies. Sistemele similare ar putea fi si ele vulnerabile.

Secure Science sugereaza cativa pasi pentru securizarea sistemului de plati:
- criptarea datelor inainte de a fi stocate pe card, sau migrarea la alt sistem care utilizeaza carduri cu functionalitate de criptare incorporata.
- verificarea ca valorea stocata pe card sa nu difere semnificativ de o valoare de referinta stocata intr-o baza de date.
- nepermiterea utilizarii de carduri cu serial number imvalid.
- invalidarea serial numerelor ale cardurilor care au fost incasate.

Citeste si:

Calculator Salariu: Află câți bani primești în mână în funcție de salariul brut »

Despre autor

Wall-Street.ro este un cotidian de business fondat în 2005, parte a grupului InternetCorp, unul dintre cei mai mari jucători din industria românească de publishing online.Pe parcursul celor peste 15 ani de prezență pe piața media, ne-am propus să fim o sursă de inspirație pentru mediul de business, dar și un canal de educație pentru pentru celelalte categorii de public interesate de zona economico-financiară.În plus, Wall-Street.ro are o experiență de 10 ani în organizarea de evenimente B2B, timp în care a susținut peste 100 de conferințe pe domenii precum Ecommerce, banking, retail, pharma&sănătate sau imobiliare. Astfel, am reușit să avem o acoperire completă - online și offline - pentru tot ce înseamnă business-ul de calitate.

Redactia Wall-Street »

Te-ar putea interesa și: