Avanti Markets自动售货机泄露用户数据：使用生物识别的IoT设备离安全有多远？

发布时间:2017-07-11 13:59 作者:AngelaY 来源:FreeBuf.COM 点击:加载中...次

在本文开头，我们先来看一张图，对，就是下面这张图：

　　图中是自动售货机，相信大家都很眼熟了。不论是公司楼下，街头巷尾，还是火车站、机场，都有自动售货机的身影，它大大方便了我们的生活。但是就是这么一台机器，所连接的网络其实也很复杂。而机器一旦被入侵，那些年你曾刷过的卡、按过的指纹，都可能被黑客窃取。

　　美国一家自动售货机供应商Avanti Markets日前就遭遇了这样的困境：黑客入侵了其内网，在终端支付设备中植入恶意软件，并窃取了用户信用卡账户以及生物特征识别数据等个人信息。

这个公司的售货机大多分布在各大休息室，售卖饮料、零食等副食品，顾客可以用信用卡支付、指纹扫描支付或现金支付的方式买单。Avanti Markets的用户多达160万。

事发后，Avanti Markets在自家网站上发布了一则《数据泄露通告》：

　　2017年7月4日，我们发现内网遭到了棘手的恶意软件攻击，影响到部分自动售货机。就目前调查结果来看，尽管我们没有完全确认入侵原因，但可以确认黑客利用了恶意软件从某些自动售货机入手，在未经授权的情况下访问了用户个人信息。所幸我们的自动售货机的安装方式和使用方法不尽相同，因此只有部分用户信息泄露，其他用户尚未受到影响。

　　Avanti表示，恶意软件目的就是搜集一些支付卡信息，包括持卡人的姓名、信用卡/借记卡卡号、到期日期甚至邮箱地址等。此外，如果有用户在被攻击的自动售货机上使用指纹支付功能，那么指纹这种生物特征识别信息也有可能被窃取。

遭受攻击后，Avanti内部响应小组采取了修改密码等措施，保护系统安全。某些地区受影响的自动售货机支付系统暂时关闭，同时正在排查并移除恶意软件。Avanti表示已经开始走法律程序，并计划为受影响的用户提供信用监测服务、开通响应热线。

　　我们会不断确认并修正隐私保护和数据保护政策和实施过程，以防止此类事件再次发生。现在我们正针对所有的自动售货机实施端到端加密方案，并在加速执行。但是，数据窃取以及类似的攻击都很难预防，我们会检查系统并加以改进，尽最大可能避免此类事情再次发生。

　　又是PoSeidon搞的鬼？

根据某位匿名者提供的消息，Avanti 其实并没有采取任何安全措施保护数据安全，连基本的P2P加密都没有做到：

　　听说大约有一半的自动售货机没有采取P2P加密措施。

P2P加密就是端到端加密，是一项在银行卡交易终端中加密信用卡信息等敏感数据的技术。理论上，在终端上存在恶意或可疑软件时，P2P加密技术也能保护银行卡数据安全。

Anvanti并没有在通告中公布恶意软件的名字。不过7月7日，安全研究员Brian Krebs在博客中声明，有一个叫做PoSeidon(FindPOS) 的恶意软件可能用在了此次Avanti攻击中。

PoSeidon是一种内存搜读软件，可以直接从POS系统的内存中读取并窃取数据。据称，俄罗斯黑客曾利用这个恶意软件攻击全球支付系统。2015年，思科最先检测到PoSeidon，当时研究人员将其定义为最复杂的POS恶意软件。

而Brian Krebs及其同事则表示，此次Avanti攻击中，他们所检测到的恶意流量与2015年思科对PoSeidon 的分析流量匹配，而且利用了相同的SSL证书。

　　这是IoT网络攻击的教科书般的案例。联网的终端设备交由第三方控制和维护，导致己方IT工作人员很难对设备进行修复、审查或控制。

　　IoT与生物特征识别

事实上，售货终端以及支付终端等IoT设备遭遇入侵在近几年似乎已成为家常便饭。支付卡机器以及POS终端之所以备受黑客欢迎，主要是因为从这里窃取到的数据很容易变现。遗憾的是，POS终端厂商总是生产一批批不安全的产品，而且只在产品上市发布之后才考虑到安全问题。

近些年，随着指纹识别和人脸识别技术大肆兴起，这些厂商也开始采用这种技术，并鼓励用户使用。他们认为采用这种生物识别技术就能确保安全，而且简单好用。

然而，银行卡可以重新申请，但生物特征识别信息是伴随人一辈子的，一旦泄露，后果更加严重。此次 Avanti 攻击反响如此巨大的原因，也是因为用户的生物特征识别信息(主要是指纹)被黑客窃取。假如匹配到个人信息，那么以后被窃取的用户都不能再用相同的指纹进行加密了，否则分分钟都能被破解。因此，专家认为，使用生物特征识别技术的公司应当遵循更高级别的安全标准。

对于新采用生物信息识别技术的公司而言，任何需求、存储或传输生物特征数据的设备至少应确保数据在保存和传输过程中保持高强度加密。在更多的独立付款应用程序使用生物识别技术之前，最好能出台一些行业标准。但可怕的是，在安全措施不到位的情况下，生物识别元素很快将会应用到到所有 IoT 设备中，这不能不令人担忧。

此外，Avanti攻击也表明了十分重要的一点：公司应当将内网分组，并将支付系统与其他网络完全隔离。显然，此前受攻击的一些POS终端公司都并未采取这种重要的预防措施。而在内网未分组的情况下，Avanti事件的黑客如果使用远程攻击，将恶意软件植入到与自动售货机使用相同内网的Microsoft Windows计算机中，那么这些黑客又能多捞一笔了。

现在，除了指纹支付，还有声称安全级别很高的指纹加密、人脸识别加密甚至虹膜加密等技术。如今人手一部甚至几部的手机大多能使用指纹识别。那么下一次，我们在大肆享用指纹支付等生物特征信息识别技术的同时，也许要问问自己，这样到底是更安全还是更不安全呢？

(责任编辑：安博涛)