网络安全初创公司 Buguard 近日向 TechCrunch 透露,已经有黑客已经接管了数字支付巨头 Wiseasy 公司(微智全景)的控制面板,该面板可用于远程管理和控制数千台 Wiseasy 的信用卡支付终端。
Wiseasy 是一个你可能没有听说过的品牌,但它是一个流行的基于 Android 的支付终端制造商,在亚太地区的餐馆、酒店、零售店和学校使用。通过其 Wisecloud 云服务,Wiseeasy 可以通过互联网远程管理、配置和更新客户终端。
不过,这家初创公司表示在一个网络犯罪分子活跃的暗网市场上,发现了可用于访问 Wiseasy 云控制面板的员工密码,其中还包括一个管理员账户。
Buguard 首席技术官 Youssef Mohamed 告诉 TechCrunch,这些密码是由员工电脑上的恶意软件盗取的。Mohamed 说,有两个云端控制面板被暴露,而且都没有受到基本安全功能的保护,如双因素认证,并允许黑客访问世界各地近 14 万个 Wiseasy 支付终端。
Buguard 表示在今年 7 月初就已经将此事报告给 Wiseasy。不过 Mohammed 表示该公司原本计划召开会议讨论披露这次安全事件,但随后在没有警告的情况下就取消了,公司也拒绝透露相关的信息。
TechCrunch看到的控制面板截图显示,一个"管理员"用户可以远程访问Wiseasy支付终端,包括锁定设备和远程安装和删除应用程序的能力。控制面板还允许任何人查看Wiseasy控制面板用户的姓名、电话号码、电子邮件地址和访问权限,包括添加新用户的能力。另一个控制面板视图还显示了支付终端所连接的网络的Wi-Fi名称和明文密码。