某大型连锁超市集团在旗下数百家门店部署了自助收银系统,让顾客可以自行扫描商品条码并使用移动支付或银行卡完成结算。自助收银系统由一家外部的POS设备供应商提供硬件和操作系统,超市的IT团队负责网络部署和系统集成。为了提高顾客结账效率,所有自助收银终端都连接到了超市的内部网络,并通过统一的后台系统进行数据汇集和管理。
设备供应商在自助收银终端上预装了一套基于Windows Embedded的操作系统,但系统没有安装全面的安全防护软件,也没有对终端接入进行严格的端口管控。超市的技术负责人虽然也知道存在安全隐患,但考虑到自助收银系统没有存储客户数据,只是临时传输支付信息,所以没有把安全问题放到优先处理的位置上。
一名黑客通过搜索内网漏洞扫描工具,发现了超市内部网络中暴露的远程桌面端口。通过社会工程学手段,黑客获得了部分设备的默认管理员密码,成功远程登录了其中一台自助收银终端。黑客在这台终端上安装了键盘记录木马程序,该程序可以截获用户在收银终端上输入的所有信息,包括银行卡的卡号和密码输入的按键记录。
由于所有自助收银终端都连接在同一个内部网络中,黑客以被攻破的终端为跳板,通过网络横向移动,将键盘记录木马逐步部署到了更多的自助收银终端上。在随后数周时间里,黑客在这些被感染的终端上收集了大量顾客的银行卡信息。木马程序还截获了移动支付二维码的生成信息,黑客利用这些信息实施了二次盗刷。
受害顾客陆续发现自己的银行卡出现了不明消费记录后向银行投诉,部分大额的盗刷记录引起了警方的注意。警方在调查中发现多名受害者的银行卡都曾在同一超市集团的自助收银终端上使用过,并顺藤摸瓜发现了终端的木马程序。超市集团接到警方通知后,立即对所有门店的自助收银终端进行了安全排查,发现超过数十台终端已经被植入了恶意程序。
这起事件给超市集团带来了巨大的声誉损失和财务赔偿压力。多名受害顾客向超市提起了诉讼,指控超市未能提供安全的支付环境,要求超市和银行共同承担盗刷损失。超市集团因此暴露了在物联网终端安全管理方面的严重不足,大量收银类终端设备长期处于安全防护的真空地带。
零售行业的数字化转型带来了大量新的终端设备接入企业内部网络,自助收银终端、智能货架、电子价签和库存管理手持终端等设备无处不在。这些物联网终端设备往往由不同的供应商提供,操作系统和应用软件千差万别,安全防护能力参差不齐。零售企业应当建立覆盖全终端设备的安全管理体系,对所有接入内部网络的终端实施统一的身份认证和访问控制策略。支付类终端必须作为最高等级的安全设备来管理,部署专用安全防护软件,定期进行安全扫描和漏洞修复。在顾客的支付安全这个问题上,零售企业的责任不会因为"设备是供应商提供的"而有任何的减轻。
