到五星級飯店住宿,除了可以享受高級的住宿設施和服務外,從這兩個月開始,有幾間全球知名的星級連鎖飯店,包括喜達屋集團、希爾頓飯店和凱悅飯店等,都陸續傳出在北美地區的連鎖飯店中,因為POS機或支付裝置感染惡意程式,導致有住宿或消費客人的信用卡資料外洩。
對於這些星級飯店而言,現在都是拼命補破網的時候,除了找第三方團隊進行數位鑑識與調查外,對照幾間發生星級飯店其客戶的信用卡個資外洩時間點,大約都落在今年6月~11月左右。
根據過往的經驗,在相同時間點,針對同一產業業者發動類似手法的攻擊,極有可能是來自同一個駭客組織,找到類似POS系統的漏洞,藉由該漏洞植入會竊取客戶信用卡卡號及個資的惡意程式。
北美區連鎖星級飯店POS系統可能潛藏的5大風險
如同全美第二大零售業者Target爆發客戶信用卡號含個資的資料外洩一樣,調查不公開,外界往往只能從有限的資訊中進行可能的推測。而Target當年外洩資料造成的損失,評估已經超過95億美元。
以目前來看,北美地區星級連鎖飯店面臨的風險,第一個就是持卡人還在使用磁條信用卡。
臺灣幾年前因為詐騙太嚴重,磁條信用卡只需要簡單的工具就可以進行條碼側錄,為了遏止詐騙歪風,政府一聲令下,要求所有的銀行必須全部改成使用晶片金融卡或晶片信用卡,持卡人的資料都透過PKI的加密方式存放在晶片中。
因為磁條信用卡本身具有容易被側錄和複製的特性,飯店提供的POS系統或刷卡裝置,只要沒注意,都可能成為有心人側錄磁條信用卡資料並偽造信用卡的脆弱環節。但是,以北美地區的磁條信用卡使用情況來看,由於這是整體國家金融體系的系統性風險,若要降低持卡人使用持條信用卡的風險,美國政府就必須如同臺灣政府一樣,有破斧沉舟的決心,在最短的時間內(臺灣是在一年內)全數更換成晶片金融卡和晶片信用卡,才可能降低相關的風險。
其次,第二種風險就是,許多POS系統仍採用已經停止支援或更新的微軟舊版作業系統。
微軟在2014年4月8日正式停止Windows XP的各種支援,並在2015年7月14日,終止更新微軟Windows XP版的Microsoft Security Essentials免費防毒,也不再提供微軟XP版的Malicious Software Removal Tool(惡意程式移除工具),並確定在2016年1月,停止支援嵌入式版本的Windows XP(Windows XP Embedded)。
由於許多POS系統從早期的DOS系統,升級到視窗操作的系統時,有許多企業都選擇採用微軟的作業系統,一旦,採用已經停止支援的微軟作業系統卻沒有升級計畫,意味著這種舊版的作業系統,系統面充滿種種可被駭客利用的漏洞。但在作業系統原廠已經放棄支援的情況下,持續使用者些舊版作業系統的業者,就形同明白暴露在明確的風險中。
以這些跨國星級飯店的IT作業系統更新的情況來看,應該都已經不再使用停止支援或更新的微軟舊版作業系統,但整個飯店的環境中,如果有少數還沒完成更新的POS系統時,都可能成為駭客入侵的缺口,藉此植入POS惡意程式,就可以竊取信用卡卡號或持卡人個資。
第三種風險就是,有部分星級飯店已經開始部分採用雲端POS系統而帶來的風險。
傳統的POS系統因為安裝在飯店的本機端,飯店的IT人員必須確保相關POS系統的安全性,但是當POS系統上雲端,成為一種可供選擇的SaaS(軟體即服務)服務時,相關的安全管控措施就必須由雲端POS業者提供。不過,雲端服務業者規模大小差異不同,也不是每一間雲端POS業者,都具有足夠的安全與風險意識。這也可能造成,某些星級飯店業者採用雲端POS時,在部分控管環節中,因為提供雲端POS服務業者的疏忽,而帶來異想不到的風險。
第四種風險,其實和POS製造商使用預設的萬年密碼有關係。
有資安研究人員發現,有某一家POS製造大廠過去25年來,都使用166816或Z66816作為預設密碼,且有超過9成以上的POS使用者,並未更改這些預設密碼,其他的POS製造業者也發現,使用預設密碼超過9年,或者是沒有設定任何密碼。
在這些情況下,駭客只要取得其中一個品牌的預設密碼後,就有機會利用這個密碼輕易攻陷其他同樣品牌的POS系統,加上許多POS機的結構簡單,容易拆卸,也通常不會使用任何防毒系統,只要業者偷懶一點,將客戶的資訊都存放在這樣不安全的POS系統上,形同將客戶個資公開給駭客存取使用。
最後的風險,其實就是人為疏忽帶來的風險。
確保信用卡交易的安全性,要求業者必須取得PCI DSS認證,這個認證本身就有許多更細節的實作規定,與一些認證偏向是大範圍、準則性的規範有所不同。
但是,根據了解,PCI DSS認證是一年稽核一次,經過先前幾次星級飯店外洩信用卡資料的事件後,發卡組織就發現,因為PCI DSS一年只有稽核一次,到了年中時,許多的規範遵循的程度就開始變得鬆散,也意味著,有更多人為因素帶來的疏失,可能導致POS系統被植入惡意程式、信用卡資料外洩的風險。
為了解決這樣的風險,發卡組織也決定,在年中採用隨機抽驗的方式,進一步提升PCI DSS認證對於確保信用卡交易安全性的正面效果。
由於,目前相關的案例都還在調查中,現階段,只能就幾種可能的風險進一步分析。但可以確定的是,要確保信用卡交易安全,是需要許多環節的相互配合,例如,採用更安全的晶片信用卡,安全的POS作業系統與確認POS機更新預設的不安全密碼,以及安全的交易認證過程等,唯有各個面向都做到環環相扣,這些飯店業者才能夠提供消費者更安全的信用卡交易服務。
本周重要資安事件回顧:
※全球最大影音直播平臺Livestream承認遭駭,要求用戶重設密碼
※微軟助技職體系推廣雲端資安認證,明年目標培訓5千人通過認證
※甲骨文認了,謊稱Java更新安全無虞,願釋工具移除不安全的舊版
※網頁錯誤代碼451,代表瀏覽網站內容因特定政治或法律理由被封鎖