MacBook za jednego dolara - badacze pokazali jak łatwo oszukać systemy sprzedaży POS w sieciach handlowych
Eksperci od spraw bezpieczeństwa odkryli lukę w działaniu systemów opartych na terminalach POS (Point of Sale), które spotykane są w większości dużych sieci handlowych. Pozwoliła im ona na zmianę ceny MacBooka na jednego dolara.
Okazuje się, że terminale stworzone przez firmy SAP i Oracle nie są wyposażone w procedury szyfrowania czy autoryzacji danych przesyłanych z i do bazy. Można je więc zmodyfikować. Wymaga to jednak fizycznego podpięcia się do sklepowej sieci, co często nie jest trudne, gdyż kable z wtyczkami są zwykle dostępne w tego typu sklepach, np. po odłączeniu jakiegoś terminala lub elektronicznej wagi. Zwykle wystarcza to, by mieć dostęp do sklepowej bazy danych i całego systemu. W celu zmiany cen produktów znajdujących się w systemie badacze z firmy ERPScan wykorzystali Raspberry Pi z aplikacją, która po podpięciu urządzenia do sklepowego systemu zmieniła cenę wspomnianego MacBooka.
Oczywiście nie okradli oni żadnej sieci handlowej, a eksperyment przeprowadzili w swoim biurze. Miał on na celu jedynie pokazanie tego, jak taki atak może zostać przeprowadzony, a celem wcale nie musi być MacBook. Jak zaznaczają, przestępcy z pewnością nie zmienią ceny na jednego dolara, bo to od razu wzbudziłoby podejrzenia. Mogą jednak obniżyć na tyle cenę drogiego sprzętu, by przy okazji innych zakupów umknęła ona uwadze sprzedawców.
Fajny art!