在美國拉斯維加斯舉行的黑客大會上,有網絡保安專家現場示範入侵自動櫃員機,令櫃員機自動吐出現金,在場人士都嘆為觀止。專家雖拒絕披露入侵手法,免得他人有樣學樣,但他稱只要一隻USB手指,就可令櫃員機將鈔票自動奉上。
美國科技公司IOActive Inc.的保安測試部主管傑克(Barnaby Jack),前日出席黑客大會及發表演講,分別測試由Tranax和Triton生產的兩部櫃員機,即場示範兩種入侵方法。
第一種是機身入侵,傑克先以一把鎖匙打開櫃員機,再插入一隻裝有黑客軟件的USB手指,即可隨意操控櫃員機,不停吐出金錢。傑克亦發現,同一廠商所有櫃員機都用同一款鎖匙,而這把鎖匙在網上只需約十美元(約七十八港元)便可買到。
第二種手法是遙距入侵。傑克表示,只需用一部手提電腦連接到目標櫃員機,便可透過傑克自行設計的黑客軟件進行監控,毋須打開機身。
除了可以操控櫃員機吐出鈔票外,該櫃員機儲存的客戶使用紀錄甚至是提款卡密碼,黑客都可輕易取得。
傑克相信可用同樣的手法入侵不同製造商的櫃員機,又表示早於去年已通知兩間廠商有關櫃員機的安全風險。其中Triton答覆稱已於去年十一月開發新程式堵塞漏洞,Tranax則未回應事件。傑克建議櫃員機廠商加強安全措施,例如為每部櫃員機配備不同的鎖匙,及更嚴格地審核電腦程式。
傑克其實早於去年的黑客大會已欲發布入侵櫃員機的消息,但遭櫃員機廠商阻止。黑客大會披露日常生活中各種科技安全漏洞,旨在提醒公眾的保安意識,但公開入侵手法亦被指易令立心不良者有樣學樣。
本報綜合報道