數位支付公司管理後台遭駭客入侵,平台方資安觀念薄弱恐陷危機
近年來數位支付越來越常見,也因為操作方便受到消費者的青睞,不過數位支付背後通常連結著個人的帳戶或信用卡資訊,平台方若沒有做好相應管理,很有可能形成資安漏洞,近日有個數位支付平台Wiseasy由於員工帳密外流,導致駭客能夠輕易造訪掌控著上萬張信用卡支付終端的管理後台,陷入資安危機。
Wiseasy為一個提供以Android開發的支付終端服務提供者,發跡於中國,總部則位於新加坡,藉由提供一站式的「雲端+軟體+終端」解決方案,協助各行各業更加便捷及低成本的方式,主要用戶大多位於亞太地區,並能在餐廳、飯店、零售店和學校等地方使用這項服務,而Wiseasy可以通過互聯網遠端管理、設定和更新客戶的終端設備。
無設置資安防護措施,後台資訊駭客唾手可得
根據《Tech Crunch》報導,網路安全新創公司Buguard表示,他們在監控暗網時,發現支付平台Wiseasy員工的電腦帳號密碼被惡意軟體所竊取,並在暗網上兜售販賣,導致駭客可以輕易經由後台儀表板造訪全球近14萬個終端裝置,更重要的是,Wiseasy並沒有設置任何像是雙重身分驗證的基本安全功能,而雲端儀表板上的各種用戶資訊便一覽無疑地直接呈現於駭客面前,駭客甚至可以利用Wiseasy所提供的一站式解決方案,採取遠端控制支付終端設備、查看用戶資訊和所連接的Wifi密碼等行動。
Buguard表示該公司在7月初時就發現這起駭客入侵事件,也馬上與平台方進行聯繫,原本在努力之下取得和該平台高層進行會議的機會,但後來對方又無預警地取消會議,據Buguard公司首席技術長尤瑟夫‧穆罕默德的說法,支付平台Wiseasy拒絕透露雲端儀表板何時會得到保障。
而Wiseasy發言人向《TechCrunch》表示,該平台已經解決這項內部問題,並且也在系統中加入了雙重身分驗證,加強系統的防護措施,不過目前還不清楚Wiseasy是否會向客戶坦承這件駭客入侵的事件。
事實上,線上支付經常成為金融駭客的攻擊目標,他們的目的就是竊取信用卡資料並進行盜刷等非法行為,根據今年稍早由惡意軟體漏洞檢測公司Sansec的統計,有超過350個電子商務網站受到駭客攻擊,買家購物時使用的信用卡資訊也被竊取,而防毒軟體領導品牌卡巴斯基(Kaspersky)的研究報告也指出,分別有45%和47%的受訪者曾因勒索軟體或數位駭客而蒙受損失,而有97%的受訪者皆有意識到數位支付平台至少存在著一種網路安全威脅。
文:陳琬樺
※本文授權轉載自數位時代
瀏覽 782 次
