Mientras los minoristas luchan contra las infracciones que tienen con decenas de millones de números de tarjetas de crédito robadas, ha salido a relucir en la Conferencia organizada por la empresa RSA, recientemente celebrada en la ciudad de San Francisco, que un importante proveedor de terminales de pago ha utilizado dispositivos iguales de envío para más de dos tarjetas de crédito.
Este error se viene cometiendo desde hace ya décadas con la utilización, por defecto, de la misma contraseña. El vendedor que hizo la denuncia, y cuya identidad no fue revelada por los investigadores, David Byrne y Charles Henderson, sí dio a conocer la contraseña:. 166816.
Una búsqueda en Google revela que es la contraseña usada como terminal de la tarjeta de crédito en cuestión, se utilizó en la compra de varios modelos de productos Verifone , y fueron vendidos por un proveedor cuya sede está en en Silicon Valley, que dice que se conecta con 27 millones de dispositivos de pago y tiene operaciones en 150 países.
Los investigadores dijeron que la contraseña se mantiene en uso en nueve de 10 terminales que posee el proveedor, en parte porque los clientes asumen erróneamente que es única para ellos. En un comunicado, Verifone reconoció que todos sus dispositivos vinieron con la misma contraseña por un defecto, que la compañía dijo que era Z66831.
Con los años, la contraseña se ha conocido y se puede encontrar en Internet, junto con las instrucciones para terminales de programación, dijo Verifone.
“El hecho importante a destacar es que, incluso sabiendo que esta contraseña posee información de pago sensible o información de identificación personal, sin embargo no puede ser capturada. “Lo que la contraseña permite a alguien a hacer es configurar algunos ajustes en la terminal; ya que todos los ejecutables deben estar en archivo firmado y no es posible entrar con el malware sólo por conocer las contraseñas.
Más adelante, el comunicado emitido por Verifone añade que la compañía recomendaba a los clientes cambiar la contraseña “y que los nuevos productos vienen con una contraseña pre-caducada, que requiere que los usuarios cambien obligatoriamente la misma durante la instalación y la configuración del aparato adquirido.
La Conferencia RSA es un evento anual importante para la industria de la seguridad y los comentarios de los dos investigadores fueron reportados por Registro y SC Magazine . Estas conferencias se utilizan a menudo para destacar las prácticas de seguridad deficientes o revelar cómo los hackers están apuntando a los sistemas.
La esperanza es que al exponer este tipo de informaciones a mayor número de sectores, las empresas y los usuarios estarán más atentos a la seguridad cibernética y transformarán y mejorarán los malos hábitos.
Los cibercriminales han estado atacando cada vez con mayor fuerza y hasta impunidad, sobretodo en los terminales de punto de venta. El más grande y más conocida de ellos fue el hack de Target, que afectó a 70 millones de clientes.
Por otra parte, una brecha en la tienda Home Depot, comprometió las tarjetas de pago de 56 millones de clientes, mientras que los sistemas también se han hackeado en Neiman Marcus, Blanca Alojamiento, Michaels y The UPS Store.
En parte debido a estas infracciones, la industria de los pagos en los EE.UU. está utilizando tarjetas de chip basada en acciones, pero los investigadores señalan la seguridad en las tarjetas no es a prueba de balas y en parte depende de los terminales de pago y otros sistemas en los minoristas.