Programišiai pademonstravo kaip nusipirkti MacBook už 1$

Ne paslaptis, kad „Apple“ kompiuterių kainos kandžiojasi, tačiau programišiai, panašu, rado būdą kaip tas kainas sumažinti, kad ir iki 1$ ar 1€.

Kibernetinio saugumo ekspertai iš „ERPScan“ aptiko „Oracle“ ir SAP sukurtuose pardavimų terminaluose spragą, kurią panaudojus galima nesunkiai įsilaužti į sistemą ir pakoreguoti prekių kainas, kad ir „MacBook“ kainą sumažinti iki kokio euro.

„ERPScan“ darbuotojai — etiški programišiai Dmitrij Častuchin (Дмитрий Частухин) ir Vladimir Egorov (Владимир Егоров) aptiko, kad Xpress serveriuose nėra eilės autorizacijos apsaugos mechanizmų. Šių apsaugos priemonių nebuvimas programišiams leido ne tik gauti prieigą prie kreditinių kortelių informacijos, pakeisti prekių kainas bet ir užvaldyti visą serverio sistemą bei atjungti pardavimo termimalus.

„Tiesą sakant, tai nėra SAP problema. Daugelis kasų sistemų naudoja panašią architektūrą ir turi tokius pačius pažeidžiamumus“, — sakė Dmitrij Častuchin.

Kompiuteriniame tinkle jungiančiame kasą ir parduotuvės serverį dažnai nėra net elementarios apsaugos — autorizacijos procedūrų ir šifravimo — ir niekam tai nerūpi. Todėl programišiui gavus prieigą prie šio tinklo jis gali puikiausiai jį kontroliuoti. Prieigą prie tinklo, kuriame cirkuliuoja pardavimo duomenys ir kasos aparatai gauna ir siunčia duomenis iš serverių ir į juos, gauti nėra sudėtinga — tereikia atjungti kokią kasą ar svarstykles nuo to tinklo ištraukiant kompiuterinio tinklo laidą iš jų ir tą laidą pajungti prie savo kompiuterio, o dar geriau iš anksto paruošto įrenginio leidžiančio prie jo (o tai reiškia ir prie viso parduotuvės kasų aparatų tinklo) nuotoliniu būdu.

Dmitrij Častuchin ir Vladimir Egorov Youtube tinkle patalpino jų atrastą saugimo spragą patvirtinantį video. Jame rodoma kaip 25€ kainuojančio „Raspberry Pi“ kompiuteriuko pagalba galima gauti prieigą prie kasų tinklo.

„ERPScan“ apie aptiktą saugumo spragą informavo SAP dar balandžio mėnesį ir kompanija išleido sistemos atnaujinimą Liepą. Tačiau programišiai ir atnaujintoje sistemoje aptiko saugumo spragą leidusią atlikti tokius pačius veiksmus. SAP išleido dar vieną atnaujinimą ir dabar, panašu, abi baltakepurių „ERPScan“ programišių aptiktos saugumo spragos sėkmingai užlopytos.

Jei naudojate SAP terminalo sprendimus savo kompanijoje — patikrinkite ar esate įdiegę ir jei ne — kuo skubiau įdiekite „SAP Security Note 2476601“ ir „SAP Security Note 2520064“ aprašytus atnaujinimus.