Eén van de grootste leveranciers van kassasystemen gebruikt al 25 jaar hetzelfde wachtwoord, zo stellen twee beveiligingsonderzoekers. Het wachtwoord "166816" zou al sinds 1990 standaard worden ingesteld en bij 90% van de klanten van deze leverancier is het wachtwoord niet gewijzigd, aldus David Byrne en Charles Henderson tijdens hun presentatie op de RSA Conferentie in San Francisco.
De afgelopen jaren wisten aanvallers regelmatig toegang tot met name Amerikaanse kassasystemen te krijgen, waar vervolgens de gegevens van miljoenen credit- en debitcards werden buitgemaakt. "In veel van deze incidenten waarover je in het nieuws hoort, of misschien niets over hoort, zijn de gebruikte kwetsbaarheden die de oorzaak van het incident zijn relatief eenvoudig", aldus Henderson, zo meldt SC Magazine.
Veel kassasystemen zouden voor het uitrollen zeer afhankelijk van wachtwoorden zijn. Het is echter lastig om wachtwoorden op het endpoint te beveiligen, merkten Byrne en Henderson op. Tijdens hun presentatie (pdf) lieten de onderzoekers ook een voorbeeld van een gehackte winkel zien waar het beheerderswachtwoord al negen jaar niet was veranderd.
De aanvallers wisten de winkel waarschijnlijk te vinden toen ze een andere winkel hackten die dezelfde leverancier voor het kassasysteem gebruikte. Verder werden kassasystemen met lege wachtwoorden aangetroffen. Ook hekelen de onderzoekers dat leveranciers de kassasystemen vaak onder een beheerdersaccount laten draaien. "Leveranciers beweren vaak dat dit vereist is, maar het zijn leugens. Het is gewoon een excuus voor luie programmeurs."
Deze posting is gelocked. Reageren is niet meer mogelijk.