VIDEO: Hakiranjem POS terminala do MacBooka za 1 dolar

Tvrtka za računalnu sigurnost ERPScan demonstrirala je ranjivost u SAP POS Xpress Server sustavu, koja se može iskoristiti za modificiranje cijena različitih proizvoda, presretanje plaćanja i prikupljanje financijskih podataka poput detalja o karticama koje su se koristile u određeno vrijeme.

Ranjivost u SAP POS Xpress Serveru koji upravlja plaćanjima putem SAP POS terminala u dućanima, omogućuje uspješan napad s velikim postotkom, jer u sustav nije ugrađena višestruka provjera autorizacije na serverskoj strani. Istraživači su to demonstrirali uspješnom kupnjom MacBook Pro prijenosnika za samo 1 dolar, kao što možete vidjeti u ovom videu.

ERPScan kaže da haker mora pokrenuti napad s iste mreže koja se koristi za sustav plaćanja, što znači da bi se cyberkriminalci morali fizički pojaviti u dućanu kako bi mogli iskoristiti ovu ranjivost, a za to bi im trebao jeftin hardver poput Raspberry Pi računala i drugih komponenti koje sve zajedno ne koštaju više od 25 dolara.

Također navode da bi se napad teoretski mogao izvesti i daljinski, ali samo ako je mreža izložena vanjskoj konekciji na internet.

"Jednom kada upadnete, dobivate neograničenu kontrolu backendom i frontendom POS sustava i možete uploadati maliciozne datoteke za konfiguriranje na SAP POS Xpress Server bez ikakve autentifikacijske procedure. Novi parametri će potom ovisiti o imaginaciji hakera koji mogu postaviti vlastite cijene ili rasprodaje, trajanje specijalnih ponuda po akcijskim cijenama i druge stvari", navodi ERPScan.

Istraživači su ovu ranjivost prijavili SAP-u još u travnju ove godine, a demonstraciju hakiranja su javno objavili tek kada su stigle zakrpe koje su pokrpale sigurnosne rupe, što znači da više nećete moći kupiti MacBook Pro za 1 dolar na ovaj način.