拉卡拉POS机被爆重大安全漏洞,刷过的银行卡轻易被盗刷!

2017-10-26 01:20:00 原作者: 张盒子 来自: 支付之家网 收藏 邀请

文章首发于公众号支付之家网

zfzjcn丨微信

www.zfzj.cn丨网址


支付之家网(WWW.ZFZJ.CN) 10月24日, GeekPwn2017国际安全极客大赛在上海召开,知名持牌第三方支付机构拉卡拉旗下智能POS产品在大赛中被爆存在重大安全漏洞,挑战选手仅用21分钟即攻破POS机并成功复制银行卡进行消费。


现在使用现金消费的情况越来越少了,很多商家开始采用多合一的智能POS机收单。与传统POS机相比,智能产品带来了丰富功能,也产生了许多问题。你的一次刷卡行为,可能会留下什么?仅有的消费金额?卡里余额?甚至是账号密码?


手捂着输密码,银行卡密码就不会丢吗?这场攻破赛的挑战者是来自盘古团队的闻观行和赵振江,他们要展示的是利用拉卡拉POS设备的漏洞,在POS机器中替换关键应用软件,然后获得所有在POS机上的刷卡信息,并复制银行卡进行消费。



10:00:20 2017-10-24

破解项目:拉卡拉POS机银行卡复制

被破解设备:拉卡拉 云POS A8

评委:诸葛建伟、万涛

破解团队:上海盘古团队

选手:闻观行、赵振江


10:05:16 2017-10-24

拉卡拉POS机破解进行中。


10:08:19 2017-10-24

破解紧张进行中,因为现场蓝牙设备过多,存在一定干扰,目前破解尚未成功,距离结束仅剩8分钟。雷锋网报道中提及,“在这组选手挑战过程中,现场环境受到了较多未知来源的蓝牙干扰,这可能是现场观众无意打开的,也可能是有人刻意为之,难不成拉卡拉派了间谍?


10:26:41 2017-10-24

时间剩余仅剩下1:29秒,已经找到现场干扰源,主办发提供的胸卡自带蓝牙,因为有限空间内设备太多,导致干扰过大。目前选手改用有线连接方式进行数据传输。


10:29:31 2017-10-24

很遗憾,20分钟倒数计时结束,未能完成现场破解演示,但是这并不代表拉卡拉POS机绝对安全,应现场观众要求,多给选手5分钟,采用有线连接方式进行继续破解,不知道是否可以成功? 



10:32:27 2017-10-24

加时赛,1分25秒,拉卡拉POS机破解成功,目前正在验证中。


10:37:12 2017-10-24

选手成功读取银行卡信息、密码,并使用复制的新卡消费成功,虽然破解不算成功,但是演示成功!


以上图片来自安全客,虽然挑战者没有挑战成功,但是漏洞依然存在,毕竟现实中的网络黑客不会只尝试20分钟攻破POS机。



公开资料显示,拉卡拉成立于2005年,于2011年5月3日成功获得人民银行颁发的《支付业务许可证》,目前已经续展成功有效期至2021年5月2日。拉卡拉支付牌照业务类型覆盖互联网支付、移动电话支付、数字电视支付、银行卡收单、预付卡受理,属于千金难买的全牌照支付公司,其在国内第三方移动支付领域和线下银行卡收单行业保持交易规模前三。


2016年2月,拉卡拉尝试用资产注入的方式,重组上市公司“西藏旅游”。重组预案公布后引起诸多质疑,市场认为西藏旅游通过精妙设计故意规避借壳,上交所也连续发出多封重组问询函,要求公司进行解释说明。在重重压力下,西藏旅游在去年6月份终止与拉卡拉的重组。


今年3月3日,证监会披露了拉卡拉在创业板上市的招股说明书。此次IPO,系拉卡拉独立拆分“拉卡拉支付”业务上市,而非集团层面的IPO。根据首次公开IPO申报稿,拉卡拉拟发行不超过4001万股,目标是登录深交所创业板。


6个月后,拉卡拉因申请文件不齐备等被证监会中止IPO。拉卡拉表示被证监会列入中止IPO审查名单的原因是,律师事务所更换签字律师。目前尚未有最新进展的消息。


此外,拉卡拉收单业务却也是违规重灾区,过去一年,三家子公司因违规受到了央行不同程度上的处罚。2016年3月17日,拉卡拉有限公司宁波分公司因未落实特约商户实名制,要求停止宁波市银行卡收单业务一年;2016年10月25日,拉卡拉支付有限公司福建分公司因未按规定开展客户身份识别、未按规定保存客户身份资料和交易记录、未按规定报送可疑交易报告;2016年12月22日,拉卡拉支付安徽分公司因违反银行卡收单业务相关法律制度规定,央行给予警告。


支付之家网(ZFZJ.CN)了解到,早在2015年10月24日的世界级黑客大赛GeekPwn嘉年华上,就有拉卡拉旗下产品被爆存在安全漏洞,选手成功攻破拉卡拉收款宝POS机,使卡内余额莫名消失。同样被攻破的还有盒子支付POS机等。


选手通过安卓手机绑定拉卡拉收款宝POS机,并在手机上安装Xposed模块去劫持交易信息。只要用户用银行卡查询余额,手机会将交易信息劫持下来,用另一张卡去刷卡转帐,输入任意密码,就可以转走前面银行卡上的余额。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。


经济日报曾指出,盗刷事件的发生,表明涉及盗刷的第三方支付平台本身存在很大隐患。“查漏补缺是首先要做的。建议监管部门再次重申保护消费者资金安全的极端重要性,对网络支付开展一次地毯式监督排查,包括对支付平台的技术软件、风险控制制度等进行全面体检。”刘俊海建议,如果是技术漏洞,就尽快打补丁补漏洞,再造技术内部流程;如果支付平台不具备风险控制的能力,则应当强制勒令取消支付业务。


去年4月,央行发布了《非银行支付机构分类评级管理办法》,系统安全被列为基本评价指标,占比15%,为第三大考量因素。


中国人民银行关于《支付业务许可证》续展工作中也明确表示“在支付业务设施安全及风险监控方面存在重大缺陷,或存在较大规模的盗窃、出卖、泄露、丢失客户信息情形的”,应指导其客观审慎开展续展申请,敦促引导其开展兼并重组,调整支付业务类型或覆盖范围、稳妥安排市场退出等工作。


距离钱越近的地方,安全问题不得儿戏,我们也相信拉卡拉能尽快修复漏洞!


- - - - - - - - - -

责编丨陈晨(微信zfzjcc)

支付之家网(WWW.ZFZJ.CN)

*文章为作者独立观点,不代表支付之家网立场*

支付之家公众号
该文章已有1人参与评论

请发表评论

全部评论

    • 引用 歪歪啊nice 2020-7-2 09:59
      厦门维壹软件专业代还APP开发  13559219060  微信同

查看全部评论>>

上一篇:
快讯!富士康正式进军移动支付行业发布时间:2017-10-24
下一篇:
不是声明丨关于拉卡拉POS(联迪A8)漏洞事件的6点回复发布时间:2017-10-27

精彩阅读

排行榜

支付之家官方订阅

扫码微信公众号
给你想要与成长

中国金融支付行业门户网站
80027302
周一至周五 9:00-21:00
意见反馈:zql@zfzj.cn

扫一扫关注我们

鲁公网安备37010202001300号  鲁ICP备16029435号-1

©2017-2021 支付之家网(www.zfzj.cn)