文章首先发布在微信官方账号支付之家。
zfzjcn微信
www.zfzj.cn丨网址
支付之家网(WWW.ZFZJ.CN) 10月24日, GeekPwn2017国际安全极客大赛在上海举行。著名的第三方支付机构拉卡拉的智能POS产品在比赛中出现了重大的安全漏洞。挑战玩家在21分钟内突破POS机,并成功复制银行卡消费。
现在现金消费的使用越来越少,许多企业开始使用多合一的智能POS机来收到订单。与传统的POS机相比,智能产品具有丰富的功能和许多问题。
如果你手里拿着输入密码,你不会丢失银行卡密码吗?这场突破赛的挑战者是盘古队的闻观行和赵振江。他们想展示的是使用它拉卡拉POS更换POS机中的关键应用软件,获取POS机上的所有信用卡信息,并复制银行卡进行消费。
10:00:20 2017-10-24
破解项目:复制拉卡拉POS机银行卡
破解设备:拉卡拉 云POS A8
评委:诸葛建伟、万涛
破解团队:上海盘古团队
选手:赵振江闻观行
10:05:16 2017-10-24
在拉卡拉POS机破解过程中。
10:08:19 2017-10-24
在破解过程中,由于现场蓝牙设备过多,存在一定的干扰,破解尚未成功,距离结束仅8分钟。雷锋在报道中提到,“在挑战这组球员的过程中,现场环境受到了更多未知来源的蓝牙干扰,这可能是观众无意中打开的,也可能是有人故意做的。拉卡拉派了间谍吗?”
10:26:41 2017-10-24
剩下的时间只剩下一个了:在29秒内,我们找到了现场干扰源。主办方提供的胸卡有自己的蓝牙。由于有限空间内设备过多,干扰过大。目前,玩家使用有线连接进行数据传输。
10:29:31 2017-10-24
不幸的是,倒数计时结束了20分钟,现场破解演示没有完成,但这并不意味着拉卡拉POS机绝对安全。根据观众的要求,给玩家5分钟,并使用有线连接继续破解。我不知道它是否能成功?
10:32:27 2017-10-24
加时赛,1分25秒,拉卡拉POS机破解成功,目前正在验证中。
10:37:12 2017-10-24
玩家成功阅读银行卡信息、密码,并使用复制新卡成功消费,虽然破解不成功,但演示成功!
以上图片来自安全客户。虽然挑战者没有挑战成功,但漏洞依然存在。毕竟现实中的网络黑客不会只试图在20分钟内突破POS机。
根据公开信息,拉卡拉成立于2005年,并于2011年5月3日成功获得中国人民银行颁发《支付营业执照》,截至2021年5月2日,已续展成功有效。拉卡拉支付许可证业务类型包括互联网支付、移动电话支付、数字电视支付、银行卡收单、接受预付卡是一家难以购买的全许可证支付公司,在中国第三方移动支付领域和线下银行卡收单行业保持前三名。
2016年2月,拉卡拉试图重组上市公司“资产注入”西藏旅游“。重组计划公布后,引起了许多质疑。市场认为,西藏旅游通过精致的设计故意避免借壳,上海证券交易所还发出了多封重组询价信,要求公司进行解释。在巨大的压力下,西藏旅游业于去年6月终止了与拉卡拉的重组。
今年3月3日,中国证监会披露了拉卡拉在创业板上市的招股说明书。IPO,系拉卡拉独立拆分“拉卡拉支付”业务上市,而不是集团级IPO。根据首次公开IPO申报,拉卡拉计划发行不超过4001万股,目标是登录深圳证券交易所创业板。
六个月后,拉卡拉因申请文件不完整而被中国证监会暂停IPO。拉卡拉说,中国证监会暂停IPO审查名单的原因是律师事务所更换了签名律师。目前还没有最新进展的消息。
此外,拉卡拉的收单业务也是一个严重的灾区。去年,三家子公司因违规行为受到央行不同程度的处罚。2016年3月17日,拉卡拉宁波2016年10月25日,拉卡拉福建分公司未按规定进行客户身份识别,未按规定保存客户身份数据和交易记录,未按规定提交可疑交易报告;2016年12月22日,拉卡拉安徽分公司违反银行卡收单业务相关规定给予警告。
支付之家网(ZFZJ.CN)据了解,早在2015年10月24日的世界级黑客大赛GeekPwn嘉年华上,拉卡拉的产品就出现了安全漏洞,选手成功突破拉卡拉收款宝POS机,使卡内余额莫名其妙地消失。还有盒子支付POS机等。
玩家通过Android手机绑定拉卡拉收款宝POS机,并在手机上安装Xposed模块劫持交易信息。只要用户用银行卡查询余额,手机就会劫持交易信息,用另一张卡刷卡转账,输入任何密码,就可以转移之前银行卡上的余额。在整个过程中,玩家本身没有直接联系银行卡,更不用说获得卡密码了。
去年4月,央行发布了《非银行支付机构分类评级管理办法》
中国人民银行还明确表示,“在支付业务设施安全和风险监控方面存在重大缺陷,或存在大规模盗窃、销售、泄露、客户信息丢失”,应指导其客观审慎的更新申请,敦促引导其合并重组,调整支付业务类型或覆盖范围,安全安排市场退出。
离钱越近,安全问题就不能儿戏,我们也相信拉卡拉能尽快修复漏洞!
– – – – – – – – – –
陈晨(微信zfzjcc)
支付之家网(WWW.ZFZJ.CN)
*作者对文章的独立看法并不意味着支付之家的网站立场*
拉卡拉POS机免费申请,免费办理,卡拉合伙人,添加QQ/微信:191506129 备注:POS机!
如若转载,请注明出处:https://www.hhhrkala.com/428.html
相关推荐
-
拉卡拉POS机办理:面对信用卡逾期,被起诉后法院已判,而且强制执行后怎么协商分期
面对信用卡逾期,被起诉后法院已判,而且强制执行后怎么协商分期 领取POS机 银行信用卡逾期,本金5万,被起诉金额7万,法院已判,被强制执行,现在与银行协商分期,银行不同意,分期意愿…
-
卡拉合伙人:深度揭秘:为什么扫码支付仅0.38%费率,而POS机刷卡要0.6%手续费
深度揭秘:为什么扫码支付仅0.38%费率,而POS机刷卡要0.6%手续费 随着社会整体水平的提高,超前消费理念已经深入人心,越来越多的人手里或多或少都有几张信用卡。 信用卡用的久了…
-
拉卡拉POS机免费办理:快来看看你的征信如何?别让这些行为,影响了未来你贷款的资格
快来看看你的征信如何?别让这些行为,影响了未来你贷款的资格 有过贷款经验的人,会知道,每一次贷款都会被贷款公司查我们的征信。 征信真的有那么重要么? 是的。我要明确地告诉你,银行需…
-
拉卡拉收款码:11张信用卡20多万全部逾期还不上, 每天电话追债, 怎么办-
11张信用卡20多万全部逾期还不上, 每天电话追债, 怎么办? 过期的信用卡不会超过20万张,但不能太小。取而代之的是,将清除掉所有11张信用卡,另外还欠200,000张信用卡。这…
-
中国支付行业发展简史
中国支付行业发展简史 “选购商品,商品扫码,拿出手机,扫码付款”,如此便捷的购物支付体验,使很多人对于“付钱”这一过程的感知越来越低。 密码验证、声纹验证、指纹验证、刷脸验证……消…
-
pos机刷卡:信用卡还不上?教你两招救急!_1
信用卡还不上?教你两招救急! 当持卡人的信用卡逾期还款的话,会产生什么后果呢?信用卡逾期还款后果严不严重,看逾期时间,具体如下: 1、逾期3天内,如果信用卡有还款宽限期,那么,基本…
-
拉卡拉POS机:很多客户告诉我POS机是在银行办,宁愿高费率也用!进来看真相
很多客户告诉我POS机是在银行办,宁愿高费率也用!进来看真相 那你知不知道银行没有支付牌照,都是找第三方公司办的。别被那些所谓的银行工作人员给骗了!!收着你的高费率,他又拿提成