POS makineleri hacklenebiliyor

Sayıları milyonu aşan kredi kartı terminalleri büyük güvenlik tehditiyle karşı karşıya.

Geçtiğimiz günlerde iki Alman bilgi güvenliği uzmanı VeriFone marka kredi kartı terminallerini kolayca hack edebileceklerini açıkladılar. Firmanın sattığı kredi kartı terminalleri tüm dünyada yüzbinlerce noktada kullanılıyor. Bu hafta yapılan anlaşmayla ABD, Washington DC’de bulunan tüm taksilerde de kullanımına başlandı.

Detayları açıklanmayan zayıflık sayesinde kredi kartı terminali üzerindeki bulunan bir buffer overflow açığı istismar edilerek istenilen kod çalıştırılabiliyor. Bulunan güvenlik açığı sayesinde saldırgan kredi kartı tahsilatı yapılan bu terminaller üzerinde tam bir denetim sahibi oluyor. Saldırgan işlem yapılan rakamı değiştirebildiği gibi kredi kartlarından gizlice para da çekebiliyor.

Düşünülebilecek en kötü senaryoda büyük bir perakende mağaza zincirinin binlerce kredi kartı terminaline zararlı kod yüklenerek işlem yapılması düşünülebilir. Sadece günler içerisinde toplanacak yüzbinlerce kart bilgisi ve pin numarası sayesinde kartlar kopyalanarak büyük miktarda finansal dolandırıcılık gerçekleştirilebilir.

Kredi kartı terminali üzerinde sahip olunan kontrolü göstermek isteyen araştırmacılar, örnek bir kredi kartı terminalini hack ederek üzerinde “Pong” olarak bilinen oyunu çalıştırmayı başardılar.

VeriFone yetkilileri ise bu kritik durumdan haberdar olduklarını fakat araştırmalar için kendilerine daha fazla detay sunulması gerektiğini söylemekle yetiniyor.