Fabrikant kassasystemen gebruikt al 25 jaar zelfde wachtwoord
Eén van de grootste leveranciers van kassasystemen gebruikt al 25 jaar hetzelfde wachtwoord, zo stellen twee beveiligingsonderzoekers. Het wachtwoord "166816" zou al sinds 1990 standaard worden ingesteld en bij 90% van de klanten van deze leverancier is het wachtwoord niet gewijzigd, aldus David Byrne en Charles Henderson tijdens hun presentatie op de RSA Conferentie in San Francisco.
De afgelopen jaren wisten aanvallers regelmatig toegang tot met name Amerikaanse kassasystemen te krijgen, waar vervolgens de gegevens van miljoenen credit- en debitcards werden buitgemaakt. "In veel van deze incidenten waarover je in het nieuws hoort, of misschien niets over hoort, zijn de gebruikte kwetsbaarheden die de oorzaak van het incident zijn relatief eenvoudig", aldus Henderson, zo meldt SC Magazine.
Veel kassasystemen zouden voor het uitrollen zeer afhankelijk van wachtwoorden zijn. Het is echter lastig om wachtwoorden op het endpoint te beveiligen, merkten Byrne en Henderson op. Tijdens hun presentatie (pdf) lieten de onderzoekers ook een voorbeeld van een gehackte winkel zien waar het beheerderswachtwoord al negen jaar niet was veranderd.
De aanvallers wisten de winkel waarschijnlijk te vinden toen ze een andere winkel hackten die dezelfde leverancier voor het kassasysteem gebruikte. Verder werden kassasystemen met lege wachtwoorden aangetroffen. Ook hekelen de onderzoekers dat leveranciers de kassasystemen vaak onder een beheerdersaccount laten draaien. "Leveranciers beweren vaak dat dit vereist is, maar het zijn leugens. Het is gewoon een excuus voor luie programmeurs."
Ok maar dan wil ik toch wel 2 situaties onderscheiden:
1. de leverancier beweert dat het als admin moet draaien maar dat is helemaal niet zo
2. het moet als admin draaien omdat de programmeurs lui geweest zijn
Die 2e situatie daar kun je als klant toch maar weinig aan doen? Soms kan het nog oplossing bieden om hier of daar
een bestand of directory writable te maken, maar op een gegeven moment houdt het gewoon op. Je kunt dan alleen nog
maar kiezen tussen als admin draaien of de software niet gebruiken, en dat laatste is vaak geen optie.
Inderdaad is situatie 1 ook vaak het geval. Ik ben op het moment bezig met een geval waar Adobe Premiere niet wil
draaien en als je op internet zoekt met de melding waar het op stuk loopt dan vind je een antwoord wat kennelijk van
een Adobe medewerker komt, en die zegt dat je het als administrator moet draaien omdat het anders niet werkt.
Dat soort prutswerk zou je van een grote fabrikant niet verwachten, en het is in mijn geval ook niet het probleem
(het lost het probleem niet op), maar dit staat wel op de forums dus mensen gaan dat dan voor waar aannemen.
maar zoals vaak zijn bonenschuivers autistische narcisten die elke verantwoordelijkheid buiten zichzelf plaatsen en zeker geen invloeden en meningen van buitenaf willen binnen laten.
Ok maar dan wil ik toch wel 2 situaties onderscheiden:
1. de leverancier beweert dat het als admin moet draaien maar dat is helemaal niet zo
2. het moet als admin draaien omdat de programmeurs lui geweest zijn
- andere leverancier zoeken
- leverancier aansprakelijk maken voor (mogelijke) gevolgschade
Het is soms, alleen als je groot genoeg bent, mogelijk om samen aan een oplossing die voldoet te werken.
Al je klein bent of consument kun je alleen blij zijn met consumentenrecht.
We hebben daarom extra eisen gesteld, waar dit bedrijf dan zeer moeilijk over doet. Na jaren zeuren hebben we bijvoorbeeld eindelijk officieel virtualisatie ondersteuning gekregen. Terwijl we dit 'stiekem' al jaren deden zonder enig probleem.
Lol.
Keihard aanpakken en afstraffen.
Simpel gezegd. Zodra de eerste 10 tot 20 "snelle jongens" al hun binnengehaalde vermogen (ten koste van anderen) kunnen inleveren en tot de bedelstaf worden veroordeeld, dan zal de rest heel snel maatregelen treffen.
Anders gezegd, op een dergelijke achterbakse manier rijk worden is gelijk te stellen aan verregaande bewuste uitkeringsfraude. Parasitair gedrag.
Immers, het kost de maatschappij, indirect, bakken met geld en het dient nergens toe anders dan de verrijking van een individueel persoon. Verregaande verrijking van een individueel persoon zou nooit mogen ten koste van de samenleving. Enkel ten bate van de samenleving.
En als een individu in staat is de samenleving te verrijken dan mag dat zeker ruimschoots beloond worden.
Graag zelf. Hoe meer personen gestimuleerd worden om schandalig rijk te worden, zolang de samenleving er maar beter van wordt, hoe beter.
Dien je wel heel scherp te stellen wat de definitie is van: waar de samenleving beter van wordt.
De samenleving is namelijk alles en iedereen. Met vrije marktkeuze. En een echte democratie. En rechtstaat.
Althans, zo zeggen de verkiezingsbeloften.
Dat is toeval! Dan gebruik je hetzelfde wachtwoord als ik!
Het is in elk geval makkelijk te onthouden... ;)
maar zoals vaak zijn bonenschuivers autistische narcisten die elke verantwoordelijkheid buiten zichzelf plaatsen en zeker geen invloeden en meningen van buitenaf willen binnen laten.
Het maakt op mij een serieuzere indruk als je geen aandoeningen als scheldwoord gebruikt. Bovendien is dit een absurde combinatie.
Het verbaast me trouwens ook dat dit langs de moderator komt, mag ik dan ook allerlei enge ziektes als scheldwoord gaan gebruiken om mijn argumenten te "versterken"?
Het is hier geen GeenStijl.
Hoe hebben jullie het opgelost met de nieuwe wachtwoord policies?
Ik heb noodgedwongen mijn wachtwoord moeten veranderen naar Geheim1!
Het wordt er allemaal niet makkelijk op.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.