【資安周報第3期】跨國星級飯店頻外洩信用卡資料，POS到底有什麼潛在風險？

到五星級飯店住宿，除了可以享受高級的住宿設施和服務外，從這兩個月開始，有幾間全球知名的星級連鎖飯店，包括喜達屋集團、希爾頓飯店和凱悅飯店等，都陸續傳出在北美地區的連鎖飯店中，因為POS機或支付裝置感染惡意程式，導致有住宿或消費客人的信用卡資料外洩。

對於這些星級飯店而言，現在都是拼命補破網的時候，除了找第三方團隊進行數位鑑識與調查外，對照幾間發生星級飯店其客戶的信用卡個資外洩時間點，大約都落在今年6月～11月左右。

根據過往的經驗，在相同時間點，針對同一產業業者發動類似手法的攻擊，極有可能是來自同一個駭客組織，找到類似POS系統的漏洞，藉由該漏洞植入會竊取客戶信用卡卡號及個資的惡意程式。

北美區連鎖星級飯店POS系統可能潛藏的5大風險

如同全美第二大零售業者Target爆發客戶信用卡號含個資的資料外洩一樣，調查不公開，外界往往只能從有限的資訊中進行可能的推測。而Target當年外洩資料造成的損失，評估已經超過95億元。

以目前來看，北美地區星級連鎖飯店面臨的風險，第一個就是持卡人還在使用磁條信用卡。

臺灣幾年前因為詐騙太嚴重，磁條信用卡只需要簡單的工具就可以進行條碼側錄，為了遏止詐騙歪風，政府一聲令下，要求所有的銀行必須全部改成使用晶片金融卡或晶片信用卡，持卡人的資料都透過PKI的加密方式存放在晶片中。

因為磁條信用卡本身俱有容易被側錄和複製的特性，飯店提供的POS系統或刷卡裝置，只要沒注意，都可能成為有心人側錄磁條信用卡資料並偽造信用卡的脆弱環節。但是，以北美地區的磁條信用卡使用情況來看，由於這是整體國家金融體系的系統性風險，若要降低持卡人使用持條信用卡的風險，美國政府就必須如同臺灣政府一樣，有破斧沉舟的決心，在最短的時間內（臺灣是在一年內）全數更換成晶片金融卡和晶片信用卡，才可能降低相關的風險。

其次，第二種風險就是，許多POS系統仍採用已經停止支援或更新的微軟舊版作業系統。

微軟在2014年4月8日正式停止Windows XP的各種支援，並在2015年7月14日，終止更新微軟Windows XP版的Microsoft Security Essentials免費防毒，也不再提供微軟XP版的Malicious Software Removal Tool （惡意程式移除工具），並確定在2016年1月，停止支援嵌入式版本的Windows XP（Windows XP Embedded）。

由於許多POS系統從早期的DOS系統，升級到視窗操作的系統時，有許多企業都選擇採用微軟的作業系 ​​統，一旦，採用已經停止支援的微軟作業系 ​​統卻沒有升級計畫，意味著這種舊版的作業系 ​​統，系統面充滿種種可被駭客利用的漏洞。但在作業系 ​​統原廠已經放棄支援的情況下，持續使用者些舊版作業系 ​​統的業者，就形同明白暴露在明確的風險中。

以這些跨國星級飯店的IT作業系統更新的情況來看，應該都已經不再使用停止支援或更新的微軟舊版作業系統，但整個飯店的環境中，如果有少數還沒完成更新的POS系統時，都可能成為駭客入侵的缺口，藉此植入POS惡意程式，就可以竊取信用卡卡號或持卡人個資。

第三種風險就是，有部分星級飯店已經開始部分採用雲端POS系統而帶來的風險。

傳統的POS系統因為安裝在飯店的本機端，飯店的IT人員必須確保相關POS系統的安全性，但是當POS系統上雲端，成為一種可供選擇的SaaS（軟體即服務）服務時，相關的安全管控措施就必須由雲端POS業者提供。不過，雲端服務業者規模大小差異不同，也不是每一間雲端POS業者，都具有足夠的安全與風險意識。這也可能造成，某些星級飯店業者採用雲端POS時，在部分控管環節中，因為提供雲端POS服務業者的疏忽，而帶來異想不到的風險。

第四種風險，其實和POS製造商使用預設的萬年密碼有關係。

有資安研究人員發現，有某一家POS製造大廠過去25年來，都使用166816或Z66816作為預設密碼，且有超過9成以上的POS使用者，並未更改這些預設密碼，其他的POS製造業者也發現，使用預設密碼超過9年，或者是沒有設定任何密碼。

在這些情況下，駭客只要取得其中一個品牌的預設密碼後，就有機會利用這個密碼輕易攻陷其他同樣品牌的POS系統，加上許多POS機的結構簡單，容易拆卸，也通常不會使用任何防毒系統，只要業者偷懶一點，將客戶的資訊都存放在這樣不安全的POS系統上，形同將客戶個資公開給駭客存取使用。

最後的風險，其實就是人為疏忽帶來的風險。

確保信用卡交易的安全性，要求業者必​​​​須取得PCI DSS認證，這個認證本身就有許多更細節的實作規定，與一些認證偏向是大範圍、準則性的規範有所不同。

但是，根據了解，PCI DSS認證是一年稽核一次，經過先前幾次星級飯店外洩信用卡資料的事件後，發卡組織就發現，因為PCI DSS一年只有稽核一次，到了年中時，許多的規範遵循的程度就開始變得鬆散，也意味著，有更多人為因素帶來的疏失，可能導致POS系統被植入惡意程式、信用卡資料外洩的風險。

為了解決這樣的風險，發卡組織也決定，在年中採用隨機抽驗的方式，進一步提升PCI DSS認證對於確保信用卡交易安全性的正面效果。

由於，目前相關的案例都還在調查中，現階段，只能就幾種可能的風險進一步分析。但可以確定的是，要確保信用卡交易安全，是需要許多環節的相互配合，例如，採用更安全的晶片信用卡，安全的POS作業系 ​​統與確認POS機更新預設的不安全密碼，以及安全的交易認證過程等，唯有各個面向都做到環環相扣，這些飯店業者才能夠提供消費者更安全的信用卡交易服務。

本週重要資安事件回顧：
※ 全球最大影音直播平臺Livestream承認遭駭，要求用戶重設密碼

※ 卡巴斯基：2015年針對企業的勒贖攻擊成長一倍

※ 微軟助技職體系推廣雲端資安認證，明年目標培訓5千人通過認證

※ 凱悅在處理支付的電腦上找到惡意軟體

※ 防恐攻，美修法可強制要求通關旅客接受全身掃瞄

※ 思科將檢驗自家產品程式碼，確認沒有任何後門存在

※ Yahoo開始告知遭國家級駭客鎖定的用戶

※ 330萬Hello Kitty粉絲個資外洩

※ 甲骨文認了，謊稱Java更新安全無虞，願釋工具移除不安全的舊版

※ 國家級資安 ​​​​ 攻防演練首度納入維運超過30年的核二廠

※ 網頁錯誤代碼451，代表瀏覽網站內容因特定政治或法律理由被封鎖

※ Juniper產品被植入後門程式，FBI懷疑是國家級駭客所為

※ 美國網路安全法案CISA闖關成功

※ Linux開機管理程式爆漏洞，連續按28下後退鍵可駭入系統