Les pirates avaient accès à des tableaux de bord utilisés pour gérer et contrôler à distance des milliers de terminaux de paiement par carte de crédit fabriqués par le géant des paiements numériques Wiseasy, a déclaré une startup de la cybersécurité à TechCrunch.
Wiseasy est une marque dont vous n’avez peut-être pas entendu parler, mais c’est un fabricant populaire de terminaux de paiement basé sur Android utilisé dans les restaurants, les hôtels, les points de vente au détail et les écoles de la région Asie-Pacifique. Grâce à son service cloud Wisecloud, Wiseeasy peut gérer, configurer et mettre à jour à distance les terminaux des clients via Internet.
Mais les mots de passe des employés de Wiseasy utilisés pour accéder aux tableaux de bord cloud de Wiseasy – y compris un compte « administrateur » – ont été trouvés sur un marché du dark web activement utilisé par les cybercriminels, selon la startup.
Youssef Mohamed, directeur de la technologie chez Buguard, une start-up de test d’intrusion et de surveillance du Web sombre, a déclaré à TechCrunch que les mots de passe avaient été volés par des logiciels malveillants sur les ordinateurs des employés. Mohamed a déclaré que deux tableaux de bord cloud avaient été exposés, mais qu’aucun n’était protégé par des fonctionnalités de sécurité de base, comme l’authentification à deux facteurs, et permettait aux pirates d’accéder à près de 140 000 terminaux de paiement Wiseasy dans le monde.
Les systèmes de paiement sont fréquemment ciblés par des pirates à motivation financière dans le but d’écrémer les numéros de carte de crédit pour commettre une fraude.
Buguard a déclaré avoir contacté Wiseasy pour la première fois au sujet des tableaux de bord compromis début juillet, mais les efforts pour divulguer le compromis se sont soldés par des réunions avec des dirigeants qui ont ensuite été annulées sans avertissement, et selon Mohamed, la société a refusé de dire si ou quand les tableaux de bord cloud seraient être sécurisé.
Les captures d’écran des tableaux de bord vus par TechCrunch montrent un utilisateur « administrateur » avec un accès à distance aux terminaux de paiement Wiseasy, y compris la possibilité de verrouiller l’appareil et d’installer et de supprimer des applications à distance. Le tableau de bord permettait également à quiconque d’afficher les noms, numéros de téléphone, adresses e-mail et autorisations d’accès pour les utilisateurs du tableau de bord Wiseasy, y compris la possibilité d’ajouter de nouveaux utilisateurs.
Une autre vue du tableau de bord affiche également le nom Wi-Fi et le mot de passe en clair du réseau auquel les terminaux de paiement sont connectés.
Mohamed a déclaré que toute personne ayant accès aux tableaux de bord pouvait contrôler les terminaux de paiement Wiseasy et apporter des modifications à la configuration.
Lorsqu’il a été contacté par TechCrunch, le directeur général de Wiseasy, Jason Wang, n’a fait aucun commentaire. Dans un e-mail séparé du porte-parole de Wiseasy, Ocean An, la société a confirmé que les problèmes avaient été résolus et qu’elle avait ajouté une authentification à deux facteurs aux tableaux de bord.
Il n’est pas clair si l’entreprise prévoit d’informer ses clients de la défaillance de la sécurité.