Công nghệ
29/08/2017 10:30Hacker tìm ra lỗ hổng bảo mật cho phép mua MacBook với giá 1 USD
Một lỗ hổng bảo mật rất nghiêm trọng tại các điểm bán lẻ sử dụng scan mã vạch POS có thể bị tin tặc khai thác để thao túng toàn bộ giá cả vật phẩm.
Dòng sản phẩm MacBook vốn nổi tiếng vì thường được Apple bán ra với mức giá không tưởng, nhưng gần đây một số hacker đã tìm ra cách đột nhập và làm gián đoạn hệ thống quản lý, từ đó cho phép mua laptop của Nhà Táo với giá chỉ vỏn vẹn 1 USD.
Các nhà nghiên cứu phần mềm bảo mật tại công ty ERPScan đã phát hiện ra một lỗ hổng an ninh tại các thiết bị bán lẻ POS (Point-of-Sale) được phát triển bởi SAP và Oracle. Nếu bị khai thác đúng cách, lỗ hổng sẽ cấp cho tin tặc toàn quyền truy cập vào hệ thống dữ liệu nền cũng như can thiệp vào giá cả vật phẩm và các chương trình khuyến mãi.
Hai nhà nghiên cứu Dmitry Chastuhin và Vladimir Egorov, sau một thời gian tìm hiểu các địa điểm bán lẻ POS đã nhận thấy máy chủ Xpress của hệ thống đang thiếu hụt rất nhiều biện pháp xác thực bảo mật. Điều đáng ngạc nhiên hơn là, cùng với việc truy cập vào dữ liệu thẻ tín dụng, nó còn mang lại cho tin tặc quyền kiểm soát không giới hạn đối với toàn bộ máy chủ, bao gồm trong đó là khả năng thay đổi giá cả hay tỉ lệ khuyến mãi, cũng như điều khiển từ xa để khởi động và tắt các thiết bị bán lẻ.
![]() |
Sơ đồ mô hình kết nối cơ bản giữa một cửa hàng bán lẻ và cơ quan đầu não |
Chastuhin cho biết: “Nói chung, vấn đề không phải ở SAP. Rất nhiều hệ thống sở hữu cấu trúc bảo mật tương tự và do đó cũng đối mặt với những nguy cơ tương tự. Kết nối giữa các thiết bị bán lẻ POS và máy chủ cửa hàng (thường) thiếu rất nhiều tính năng bảo mật mạng cơ bản - như quá trình xác nhận và mã hóa thông tin chẳng hạn - và mọi người cũng thường chẳng đoái hoài đến chúng. Và vì thế, một khi hacker “mò” được vào mạng lưới, hắn sẽ toàn quyền thao túng hệ thống.
Chastuhin và Egorov sau khi phát hiện ra lỗ hổng bảo mật đã nhanh chóng đăng tải lên YoutTube một đoạn video làm bằng chứng. Trong đoạn clip, họ đã cho thấy một tin tặc có thể sử dụng một máy tính cầm tay Raspberry Pi có giá chỉ 25 USD để đột nhập vào hệ thống dữ liệu sâu của POS và cài đặt malware thiết kế riêng để giảm giá MacBook đơn giản như thế nào.
ERPScan lần đầu công bố lỗ hổng này tới SAP hồi tháng 4, kể từ đó công ty đã tung ra một bản vá vào tháng 7 và một lần nữa lại tiếp tục bị khai thác bởi các nhà nghiên cứu với cùng một dạng tấn công tương tự. Hiện SAP đã sửa được toàn bộ lỗ hổng này và hoàn toàn nắm quyền kiểm soát lại trong tay. Tuy nhiên dù sao, đây cũng là một hồi chuông cảnh tỉnh tới rất nhiều cửa hàng bán lẻ sử dụng hệ thống scan mã vạch POS.
Theo Công Minh (Ictnews.vn)
Tin cùng chuyên mục








-
Rầm rộ clip Sơn Tùng trực tiếp xem Hải Tú chụp ảnh (03/07)
-
Indonesia chi 34 tỷ USD mua hàng Mỹ trước giờ chót đàm phán (03/07)
-
Lỗi vi phạm nào bị trừ tới 10 điểm bằng lái? (03/07)
-
Phía Làng Háo Hức phản hồi về bài đăng bức xúc của phụ huynh khiến fanpage bị đánh giá 1 sao (03/07)
-
Ronaldo tiếc thương cậu em Diogo Jota: "Điều đó thật vô lý" (03/07)
-
Câu thoại tiếng Việt của Ngô Thanh Vân trong bom tấn Hollywood là gì mà viral khắp MXH? (03/07)
-
Người dùng Grab lưu ý: Thực hiện ngay việc này trước ngày 11/7 kẻo mất quyền lợi (03/07)
-
Khách sạn 5 sao Quinter Nha Trang bị Bộ Công an khám xét bất ngờ, cảnh sát bao vây nghiêm ngặt (03/07)
-
Hơn 1 triệu tỷ đồng tín dụng đang "chọn mặt gửi vàng" ở đâu trong nền kinh tế? (03/07)
-
Phó tư lệnh hải quân Nga tử trận ở Kursk (03/07)
Bài đọc nhiều




