ハッカーは、デジタル決済大手の Wiseasy が製造した数千台のクレジットカード決済端末をリモートで管理および制御するために使用されるダッシュボードにアクセスできた、とサイバーセキュリティの新興企業が TechCrunch に語った。
Wiseasy は聞いたことがないかもしれないブランドですが、アジア太平洋地域のレストラン、ホテル、小売店、学校で使用されている人気の Android ベースの決済端末メーカーです。 Wisecloud クラウド サービスを通じて、Wiseeasy はインターネット経由で顧客の端末をリモートで管理、構成、および更新できます。
しかし、スタートアップによると、Wiseasy のクラウド ダッシュボードにアクセスするために使用される Wiseasy 従業員のパスワード (「管理者」アカウントを含む) は、サイバー犯罪者が積極的に使用するダーク ウェブ マーケットプレイスで発見されました。
侵入テストとダークウェブ監視のスタートアップである Buguard の最高技術責任者である Youssef Mohamed 氏は TechCrunch に、従業員のコンピューターのマルウェアによってパスワードが盗まれたと語った。 Mohamed 氏によると、2 つのクラウド ダッシュボードが公開されましたが、どちらも 2 要素認証などの基本的なセキュリティ機能で保護されておらず、ハッカーが世界中の約 140,000 台の Wiseasy 決済端末にアクセスできました。
支払いシステムは、詐欺を行うためにクレジット カード番号をスキミングすることを目的として、金銭目的のハッカーの標的になることがよくあります。
Buguard は、侵害されたダッシュボードについて最初に Wiseasy に連絡したのは 7 月初旬だったと述べたが、侵害を開示しようとしたが、その後警告なしにキャンセルされた幹部との会議に遭遇した。確保。
TechCrunch が見たダッシュボードのスクリーンショットは、デバイスをロックし、アプリをリモートでインストールおよび削除する機能を含む、Wiseasy 支払い端末へのリモート アクセスを持つ「管理者」ユーザーを示しています。 ダッシュボードでは、新しいユーザーを追加する機能を含め、誰でも Wiseasy ダッシュボード ユーザーの名前、電話番号、電子メール アドレス、およびアクセス許可を表示できました。
別のダッシュボード ビューには、支払い端末が接続されているネットワークの Wi-Fi 名と平文のパスワードも表示されます。
Mohamed 氏は、ダッシュボードにアクセスできる人は誰でも Wiseasy 決済端末を制御し、構成を変更できると述べました。
TechCrunch が連絡を取ったとき、Wiseasy の最高経営責任者 Jason Wang はコメントしなかった。 Wiseasy の広報担当者である Ocean An からの別のメールで、同社は問題が修正され、ダッシュボードに 2 要素認証が追加されたことを確認しました。
同社がセキュリティの失効を顧客に通知する予定があるかどうかは明らかではありません。