Este código puede ‘hackear’ casi todas las tiendas de EU
Prepárate para una revelación vergonzosa: 90% de los lectores de tarjetas de crédito actualmente utilizan la misma contraseña.
El código de acceso, establecido por defecto en las máquinas de tarjetas de crédito desde 1990, es fácil de encontrar con una rápida búsqueda en Google y ha estado expuesto durante tanto tiempo que no tiene sentido tratar de ocultarlo. Es 166816 o Z66816, dependiendo de la máquina.
Con eso, un atacante puede obtener el control completo de los lectores de tarjetas de crédito de una tienda, lo cual potencialmente le permite hackear las máquinas y robar los datos de pago de los clientes (piensa en los repetidos hackeos contra Target y Home Depot). No es extraño que los grandes minoristas sigan perdiendo los datos de tu tarjeta de crédito ante los piratas informáticos. La seguridad es de chiste.
Este último descubrimiento proviene de los investigadores de Trustwave, una firma de seguridad cibernética.
El acceso administrativo puede ser utilizado para infectar computadoras con malware, que roba datos de las tarjetas de crédito , explicó el ejecutivo de Trustwave Charles Henderson. Detalló sus hallazgos en la conferencia de ciberseguridad de la RSA la semana pasada en San Francisco, en una presentación llamada That Point of Sale is a PoS.
El problema se deriva de un juego de papa caliente. Los fabricantes de dispositivos venden máquinas a distribuidores especiales. Estos proveedores los venden a los minoristas. Pero nadie piensa que es su responsabilidad actualizar el código maestro, dijo Henderson a CNNMoney.
“Nadie cambia la contraseña cuando configuran esto por primera vez, todos piensan que la seguridad de su punto de venta es la responsabilidad de alguien más”, dijo Henderson. “Se lo estamos facilitando mucho a los delincuentes”.
Trustwave examinó las terminales de tarjetas de crédito en más de 120 tiendas en todo el país. Eso incluye las principales prendas de ropa y electrónica, así como las cadenas minoristas locales. Ningún minorista específico fue nombrado.
La gran mayoría de las máquinas fueron hechas por Verifone. Pero el mismo problema está presente en todos los principales fabricantes de terminales, dijo Trustwave.
Un portavoz de Verifone dijo que una contraseña no es suficiente para infectar máquinas con malware . La compañía dijo que, hasta ahora, “no ha sido testigo de ningún ataque a la seguridad de sus terminales basado en contraseñas por defecto”.
Sin embargo, por si acaso, Verifone dijo que está “recomendando encarecidamente cambiar la contraseña por defecto” a los minoristas Y hoy en día, los nuevos dispositivos de Verifone vienen con una contraseña que expira.
En cualquier caso, la culpa es de los minoristas y de sus proveedores especiales. Es como el Wi-Fi casero. Si compras un router Wi-Fi para el hogar, te corresponde a ti cambiar la contraseña por defecto. Los minoristas deben asegurar sus propias máquinas. Y los distribuidores de máquinas deberían ayudarles a que lo hagan.
Trustwave, que ayuda a proteger a los minoristas de los hackers, dijo que mantener seguras las máquinas de tarjetas de crédito está muy abajo en la lista de prioridades de una tienda.
"Las empresas gastan más dinero eligiendo el color de la máquina de punto de venta que en hacerla segura”, dijo Henderson.
Este problema refuerza la conclusión hecha en un reciente informe de ciberseguridad de Verizon: que los minoristas son hackeados porque son perezosos.
Lo contraseña predeterminada es un problema grave. Las redes informáticas de los minoristas son expuestas a virus informáticos todo el tiempo. Considera un caso que Henderson investigó recientemente. Un desagradable software espía del registro de las pulsaciones del teclado terminó en el la computadora que una tienda utiliza para procesar las transacciones de tarjetas de crédito. Resulta que los empleados lo habían manipulado para jugar una versión pirata de 'Guitar Hero', y habían descargado accidentalmente el malware.
“Eso demuestra el nivel de acceso que mucha gente tiene al entorno del punto de venta”, dijo. “Francamente, no está tan cerrado como debería”.