当前位置:网站首页 > 资讯中心 > 行业热点
销售热线 :
400 0371 551

关于拉卡拉POS(联迪A8)漏洞事件的6点回复【转】

发布于:2019-08-07 15:07:34 点击量:0次
针对2019年7月所发布的文章《拉卡拉POS机被爆重大安全漏洞,刷过的银行卡轻易被盗刷!》,因为是我们首发的且已经引起了包括人民银行等监管机构的重视,当然也产生了部分争议,那我先简单讲两句吧,后续有时间再详细写。

1.用联迪A8的支付公司那么多,为什么唯独写拉卡拉?
我也不知道为什么,不过据说GeekPwn国际安全极客大赛所选取的产品一般都是相对比较知名且被广泛使用的。大赛中展示的产品的确是拉卡拉云POS机,我们就如实的将行业资讯传递给了你们而已。
按照惯例,GeekPwn一般会在大赛前一周将漏洞通知给厂商。据拉卡拉员工表示大赛组织方将漏洞提前发给了联迪公司,自己不知情,直到大赛开始后才得知的。如果属实,那么我认为大赛主办方的确不应该凸显是拉卡拉的产品,而是直接注明是联迪公司的POS机具。

而且,这个新闻在网上的踪迹并不多,甚至于在GeekPwn官网都很难找到蛛丝马迹。不过碰巧被我们发现了,然后顺便挖了一下,又凑巧引起了一次舆论事件。
另外,没有黑幕,没收黑钱。
2.拉卡拉冤枉吗?
拉卡拉发了一个公告,大概意思是出现漏洞是因为终端厂商联迪造成的,和他们家没什么关系。且说这个终端已经是银联过检,好多支付机构和银行都在用A8,不止他们一家。
拉卡拉声明中说的基本没什么问题也都是事实,不过至少在我看来有一个无可推卸的责任,拉卡拉作为提供支付业务的第三方支付机构,从终端厂商联迪那里批量采购了终端机具,然后搭配支付业务一起销售给了商户。也就是说无论终端厂商是否有责任,作为与商户有直接协议关系的收单机构是必须有自己的责任的,也应该积极承担。(拉卡拉承诺如产生资金损失将全额赔偿还是值得肯定的)
我举个例子,你买了一部三星手机,然后使用中电池爆炸,作为用户你是会去找三星公司还是电池生产供应商?
当然,必须要承认,此次事件所暴露出来的问题已经涉及整个行业(产业链),尤其是终端生产厂商联迪公司,拉卡拉只不过是凑巧被作为代表而已。
另外一个插曲,GeekPwn大赛是24日举办的且当天就爆出了漏洞,支付之家网发布的文章是26日早晨7点,然后拉卡拉的声明是26日中午12点多。那么这个声明是因为GeekPwn大赛还是因为舆论发酵?我不得而知。

3.错在磁条卡?
很多行业内的人都说如果是芯片卡就不会被攻破了,可是涉及到金融安全,真的允许如果吗?虽然暂时没有数据支撑,不过我觉得目前仍然有大量的磁条卡在使用。(就比如我,广发的信用卡就是磁条卡,没换成芯片卡的原因是会被换卡号,另外还有两张借记卡也是磁条卡)
我也建议用户及时换成芯片卡,因为的确会安全很多。不过,我们仍然要清楚的知道,是否换芯片卡那是消费者的事情,而作为支付行业各个链条的机构来说,无论是受理磁条卡还是芯片卡都要保证其使用安全。
只要国家允许磁条卡在流通使用,我都认为消费者使用磁条卡没有错。

4.已经销售给商户并使用的联迪A8怎么办?
据媒体报道该款机器销售量已达150万台以上,是目前市场上最为畅销的智能POS机之一,多家支付机构均有采购投放。
那么问题来了,有没有必要召回?厂商表述的所谓安卓系统漏洞,能否远程升级解决?

5.联迪A8POS机漏洞事件打了谁的脸?
你就想想,谁生产的,谁允许使用的,谁销售给商户的,中间还有没有其他参与方,终端厂商、卡组织、支付机构以及其他各个参与方,究竟谁的责任更大一些?这个还是不说,和谐了。

6.最后讲个事儿

APOSA8获得“2016-2017中国互联网金融支付安全年度创新产品奖


友情链接