Hacker hatten Zugriff auf Dashboards, mit denen Tausende von Kreditkarten-Zahlungsterminals aus der Ferne verwaltet und kontrolliert wurden, die vom digitalen Zahlungsgiganten Wiseasy hergestellt wurden, sagte ein Cybersicherheits-Startup gegenüber Tech.
Wiseasy ist eine Marke, von der Sie vielleicht noch nie gehört haben, aber es ist ein beliebter Hersteller von Zahlungsterminals auf Android-Basis, der in Restaurants, Hotels, Einzelhandelsgeschäften und Schulen im gesamten asiatisch-pazifischen Raum verwendet wird. Über seinen Cloud-Service Wisecloud kann Wiseeasy Kundenterminals über das Internet aus der Ferne verwalten, konfigurieren und aktualisieren.
Aber Passwörter von Wiseasy-Mitarbeitern, die für den Zugriff auf die Cloud-Dashboards von Wiseasy verwendet werden – einschließlich eines „Admin“-Kontos – wurden laut dem Startup auf einem Dark-Web-Marktplatz gefunden, der aktiv von Cyberkriminellen genutzt wird.
Youssef Mohamed, Chief Technology Officer beim Startup Buguard für Penetrationstests und Dark-Web-Überwachung, sagte gegenüber Tech, dass die Passwörter durch Malware auf den Computern des Mitarbeiters gestohlen wurden. Mohamed sagte, dass zwei Cloud-Dashboards offengelegt wurden, aber keines davon mit grundlegenden Sicherheitsfunktionen wie der Zwei-Faktor-Authentifizierung geschützt war und Hackern den Zugriff auf fast 140.000 Wiseasy-Zahlungsterminals auf der ganzen Welt ermöglichte.
Zahlungssysteme werden häufig von finanzorientierten Hackern angegriffen, um Kreditkartennummern für Betrugszwecke zu überfliegen.
Buguard sagte, es habe Wiseasy Anfang Juli zum ersten Mal wegen der kompromittierten Dashboards kontaktiert, aber Bemühungen, die Kompromittierung offenzulegen, wurden mit Treffen mit Führungskräften beantwortet, die später ohne Vorwarnung abgesagt wurden, und laut Mohamed lehnte das Unternehmen es ab zu sagen, ob oder wann die Cloud-Dashboards verfügbar sein würden gesichert.
Screenshots der von Tech gesehenen Dashboards zeigen einen „Admin“-Benutzer mit Fernzugriff auf Wiseasy-Zahlungsterminals, einschließlich der Möglichkeit, das Gerät zu sperren und Apps aus der Ferne zu installieren und zu entfernen. Das Dashboard ermöglichte es auch jedem, Namen, Telefonnummern, E-Mail-Adressen und Zugriffsberechtigungen für Wiseasy-Dashboard-Benutzer anzuzeigen, einschließlich der Möglichkeit, neue Benutzer hinzuzufügen.
Eine weitere Dashboard-Ansicht zeigt auch den WLAN-Namen und das Klartext-Passwort des Netzwerks, mit dem Zahlungsterminals verbunden sind.
Mohamed sagte, jeder mit Zugriff auf die Dashboards könne Wiseasy-Zahlungsterminals steuern und Konfigurationsänderungen vornehmen.
Als er von Tech erreicht wurde, wollte Jason Wang, Chief Executive von Wiseasy, keinen Kommentar abgeben. In einer separaten E-Mail von Wiseasy-Sprecher Ocean An bestätigte das Unternehmen, dass die Probleme behoben wurden und dass es den Dashboards eine Zwei-Faktor-Authentifizierung hinzugefügt hatte.
Es ist nicht klar, ob das Unternehmen beabsichtigt, seine Kunden über die Sicherheitslücke zu informieren.