拉卡拉个人pos机怎么用(拉卡拉POS机被爆重大安全漏洞,刷过的银行卡轻易被盗刷)

Posted

篇首语:将相本无种,男儿当自强。本文由小常识网(cha138.com)小编为大家整理,主要介绍了拉卡拉个人pos机怎么用(拉卡拉POS机被爆重大安全漏洞,刷过的银行卡轻易被盗刷)相关的知识,希望对你有一定的参考价值。

拉卡拉个人pos机怎么用(拉卡拉POS机被爆重大安全漏洞,刷过的银行卡轻易被盗刷)

文章首发于公众号支付之家网

zfzjcn丨微信

www.zfzj.cn丨网址

支付之家网(WWW.ZFZJ.CN) 10月24日, GeekPwn2017国际安全极客大赛在上海召开,知名持牌第三方支付机构拉卡拉旗下智能POS产品在大赛中被爆存在重大安全漏洞,挑战选手仅用21分钟即攻破POS机并成功复制银行卡进行消费。

现在使用现金消费的情况越来越少了,很多商家开始采用多合一的智能POS机收单。与传统POS机相比,智能产品带来了丰富功能,也产生了许多问题。

手捂着输密码,银行卡密码就不会丢吗?这场攻破赛的挑战者是来自盘古团队的闻观行和赵振江,他们要展示的是利用拉卡拉POS设备的漏洞,在POS机器中替换关键应用软件,然后获得所有在POS机上的刷卡信息,并复制银行卡进行消费。

10:00:20 2017-10-24

破解项目:拉卡拉POS机银行卡复制

被破解设备:拉卡拉 云POS A8

评委:诸葛建伟、万涛

破解团队:上海盘古团队

选手:闻观行、赵振江

10:05:16 2017-10-24

拉卡拉POS机破解进行中。

10:08:19 2017-10-24

破解紧张进行中,因为现场蓝牙设备过多,存在一定干扰,目前破解尚未成功,距离结束仅剩8分钟。雷锋网报道中提及,“在这组选手挑战过程中,现场环境受到了较多未知来源的蓝牙干扰,这可能是现场观众无意打开的,也可能是有人刻意为之,难不成拉卡拉派了间谍?”

10:26:41 2017-10-24

时间剩余仅剩下1:29秒,已经找到现场干扰源,主办发提供的胸卡自带蓝牙,因为有限空间内设备太多,导致干扰过大。目前选手改用有线连接方式进行数据传输。

10:29:31 2017-10-24

很遗憾,20分钟倒数计时结束,未能完成现场破解演示,但是这并不代表拉卡拉POS机绝对安全,应现场观众要求,多给选手5分钟,采用有线连接方式进行继续破解,不知道是否可以成功?

10:32:27 2017-10-24

加时赛,1分25秒,拉卡拉POS机破解成功,目前正在验证中。

10:37:12 2017-10-24

选手成功读取银行卡信息、密码,并使用复制的新卡消费成功,虽然破解不算成功,但是演示成功!

以上图片来自安全客,虽然挑战者没有挑战成功,但是漏洞依然存在,毕竟现实中的网络黑客不会只尝试20分钟攻破POS机。

公开资料显示,拉卡拉成立于2005年,于2011年5月3日成功获得人民银行颁发的《支付业务许可证》,目前已经续展成功有效期至2021年5月2日。拉卡拉支付牌照业务类型覆盖互联网支付、移动电话支付、数字电视支付、银行卡收单、预付卡受理,属于千金难买的全牌照支付公司,其在国内第三方移动支付领域和线下银行卡收单行业保持交易规模前三。

2016年2月,拉卡拉尝试用资产注入的方式,重组上市公司“西藏旅游”。重组预案公布后引起诸多质疑,市场认为西藏旅游通过精妙设计故意规避借壳,上交所也连续发出多封重组问询函,要求公司进行解释说明。在重重压力下,西藏旅游在去年6月份终止与拉卡拉的重组。

今年3月3日,证监会披露了拉卡拉在创业板上市的招股说明书。此次IPO,系拉卡拉独立拆分“拉卡拉支付”业务上市,而非集团层面的IPO。根据首次公开IPO申报稿,拉卡拉拟发行不超过4001万股,目标是登录深交所创业板。

6个月后,拉卡拉因申请文件不齐备等被证监会中止IPO。拉卡拉表示被证监会列入中止IPO审查名单的原因是,律师事务所更换签字律师。目前尚未有最新进展的消息。

此外,拉卡拉收单业务却也是违规重灾区,过去一年,三家子公司因违规受到了央行不同程度上的处罚。2016年3月17日,拉卡拉宁波分公司因未落实特约商户实名制,要求停止宁波市银行卡收单业务一年;2016年10月25日,拉卡拉福建分公司因未按规定开展客户身份识别、未按规定保存客户身份资料和交易记录、未按规定报送可疑交易报告;2016年12月22日,拉卡拉安徽分公司因违反银行卡收单业务相关规定,给予警告。

支付之家网(ZFZJ.CN)了解到,早在2015年10月24日的世界级黑客大赛GeekPwn嘉年华上,就有拉卡拉旗下产品被爆存在安全漏洞,选手成功攻破拉卡拉收款宝POS机,使卡内余额莫名消失。同样被攻破的还有盒子支付POS机等。

选手通过安卓手机绑定拉卡拉收款宝POS机,并在手机上安装Xposed模块去劫持交易信息。只要用户用银行卡查询余额,手机会将交易信息劫持下来,用另一张卡去刷卡转帐,输入任意密码,就可以转走前面银行卡上的余额。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。

去年4月,央行发布了《非银行支付机构分类评级管理办法》,系统安全被列为基本评价指标,占比15%,为第三大考量因素。

人民银行关于《支付业务许可证》续展工作中也明确表示“在支付业务设施安全及风险监控方面存在重大缺陷,或存在较大规模的盗窃、出卖、泄露、丢失客户信息情形的”,应指导其客观审慎开展续展申请,敦促引导其开展兼并重组,调整支付业务类型或覆盖范围、稳妥安排市场退出等工作。

距离钱越近的地方,安全问题不得儿戏,我们也相信拉卡拉能尽快修复漏洞!

- - - - - - - - - -

责编丨陈晨(微信zfzjcc)

支付之家网(WWW.ZFZJ.CN)

*文章为作者独立观点,不代表支付之家网立场*

相关参考

拉卡拉POS支付(央视315晚会曝光拉卡拉支付产品存在“网销POS”行为)

...机等支付市场乱象,节目中钱宝科技等公司POS产品出镜,拉卡拉产品被爆在某电商平台公然销售,疑似违反央行261号文相关条例。央视记者调查发现,在一些知名电商平台,搜索“POS机”,无法找到相关产品,但将搜索关键词改...

拉卡拉pos机办理(拉卡拉智能pos机,安全可靠的经营好帮手)

十几年如一日,拉卡拉专注于支付,以安全可靠、方便快捷的优势成为万千家中小微商户的选择。目前拉卡拉支付在受理端规模排名行业第二,其智能POS产品市场占有率位居行业第一。拉卡拉支付于2015年率先推出智能POS终端,...

拉卡拉个人pos机(出租车司机注意了拉卡拉携手Visa开展手机POS应用试点 可提供收款服务)

...品瑜廖蒙)2月10日,北京商报记者获悉,第三方支付机构拉卡拉携手全球数字支付公司Visa,在国内率先推出符合VisaTaptoPhone收款解决方案规范的手机POS试点,面向出租车司机提供手机端Visa卡收款服务,拓展境外Visa卡在中国的支...

拉卡拉手机pos机(拉卡拉智能POS机引领智慧生活新风尚)

...能化已经成为了公认的发展趋势。在刚刚过去的2018年,拉卡拉金融凭借在普惠金融领域的卓越表现和不断创新,收获了多项重要荣誉,获得业界广泛认可。截至目前,拉卡拉支付累计服务超过1500万家商户,每天服务个人客户超...

拉卡拉pos机好用吗(“POS”机大王第三次冲刺上市 拉卡拉能否赢过微信支付宝?)

3月26日,第十八届发审委将一次性审核5家企业,分别是拉卡拉支付股份有限公司、中简科技股份有限公司、浙江运达风电股份有限公司、杭州天元宠物用品股份有限公司、广东日丰电缆股份有限公司。其中,有着“POS机大王”...

拉卡拉pos机个人办理(您收到过这样的短信吗?)

今天早上,收到一条短信:【拉卡拉】尊敬的6xxx用户,您的P0S机即将停用,为不影响您日常使用,总部给您包邮寄2022新版0.38P0S机!确认回复1,回T退订.咦,这不是垃圾短信吗?不理会,但等一等,后四位确实是我的手机尾号,...

拉卡拉pos怎么使用(假冒拉卡拉POS诈骗声明)

尊敬的拉卡拉用户您好:●近期有不法分子假冒银联POS机中心/拉卡拉客服,用电话/群发短信/微信群二维码/淘宝/芝麻分免费领取等新型诈骗方法欺骗用户。以POS机不能使用或以费率上调更换低费率机具,所寄来的机器内置读卡芯...

拉卡拉pos机个(拉卡拉:收单无“优势”POS机市场趋饱和,逆势扩张谁“背锅”?)

...、支付宝两大“巨头”垄断,原本“油水有限”的行业,拉卡拉支付股份有限公司(以下简称“拉卡拉”)的市场份额遭各方“蚕食”。作为首批获得《支付业务许可证》的第三方支付企业,拉卡拉深耕线下收单业务,几经波折...

拉卡拉POS机(考拉征信违规经营被查 拉卡拉:参股公司独立经营 不存在违规销售POS机行为)

近日,拉卡拉(300773,股吧)收到深交所的关注函,要求针对考拉征信涉嫌非法提供身份证返照查询9800多万次,获利3800万元,其董事长等涉案人员被抓获,拉卡拉与考拉征信是否存在业务往来,是否存在违规销售POS机等问题做出解...

拉卡拉pos机靠谱吗(POS机套现,拉卡拉等机构为何视而不见?)

撰文|三人成虎编辑|订顽20年前的中国,用信用卡刷POS机结账应该是一种时尚;而20年后,虽然科技几经演进,搭载二维码的移动支付已经渗透到KTV、快餐店、甚至路边小吃摊、流动菜贩子等每个细小的角落,POS机刷卡依然"坚...