新的研究表明,销售点终端机的安全性不佳,易受日益复杂威胁的攻击;本月第二个星期二是补丁日,所有常用软件供应商都将在这天提供安全补丁;美国热门的短网址服务商Bitly承认受到不明攻击,用户数据外泄。
POS机
销售端(简称POS机)只是收银机的另一种叫法。当然,我们在此没打算讨论旧式的那种”叮叮”作响的收银机。我们要谈的是能够存储并传输付款信息的联网电子销售终端。目前,几乎所有零售场所或餐厅都安装有POS系统,支持客户直接刷借记卡或信用卡。但遗憾的是,最新的报告发现,众多用户常用于付费的POS系统正受到大量日趋复杂的攻击。更糟糕的是,其中多数POS系统在安全防御方面差强人意。
实际上出人意料的还不止于此,想想吧,在一台有漏洞的POS机上处理过一笔交易后,交易中涉及的任何信用卡或借记卡的全部相关付款信息都可能会泄露。
最近,网络监测公司Arbor Networks发布的一份报告中,列出了至少五个专用于攻击POS系统不同恶意软件。此外,Verizon发布的《数据泄露调查报告》指出,2013年发生的不同POS机入侵事件达198起。另外还有大家知道的,近期Target、美国精品百货店内曼•马库斯(Neiman Marcus)、美国最大的工艺品连锁店Michael’s及其他零售商频频受到的攻击全部属于POS攻击,都导致了大量消费者数据外泄。
对此,你能做些什么呢?你可能会毁了所有信用卡和借记卡,在这次波及整个”互联网”的风波过去之前只用现金付费。但这是非常极端的做法。您应该采取的行动是关注相关新闻,一旦知道光顾过的公司发生数据外泄事件,即刻采取相应行动。您需要检查信用卡或借记卡余额,确保没有可疑交易,也可以联系银行取消所有可能资料外泄的卡,并换用新卡。
Bitly被攻击
美国受欢迎的短网址服务商Bitly上周晚些时候受到攻击,导致数据外泄。如果你持有或之前有过Bitly帐户,应该考虑帐户密码很可能外泄。该公司认为用户的帐户并没有危险,但尽管如此,公司仍敦促客户更改密码。Bitly还宣布说,为了防范日后再发生此类数据泄露事件,公司将实施双重认证。
我也同样希望持有Bitly帐户的用户赶紧更改密码。如果碰巧对其他帐户也用了同一密码,则这些帐户的密码也须一并更改。这就是为什么我一直告诫说不要多个帐户使用同一密码。
最后要指出的是,Bitly支持用户通过Facebook和Twitter帐户链接到Bitly帐户。这种做法存在一定问题 - 入侵了Bitly帐户的攻击者很可能会入侵相应的社交帐户。对此Bitly非常明智地将所有相关连接设定无效。如果要重新连接帐户,用户得重新对这些连接进行认证。但麻烦的是,用户还须更改曾通过Bitly链接的所有社交帐户的密码。
另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。
周二补丁日
简要地说,本周就是周二补丁日,Adobe和微软都为自己用途广泛的产品发布了补丁,同时发布补丁的还有Google Chrome。微软发布了8个安全公告,其中有两个的安全等级属于”高危”,这8个补丁修复了Internet Explorer网络浏览器中的13个安全漏洞,同时还修复了其他微软软件中的多个漏洞。Adobe修复了Reader、Acrobat和Flash Player中的一些严重漏洞。Google则修复了Chrome浏览器中3个高安全等级的漏洞(Google为发现并报告这些漏洞的研究人员支付了4500美元)。
就我们讨论的这个话题,用户几乎不可能对其专业细节穷根究底,所以在此我们不妨提一下,Linux内核中有5年历史的漏洞已发布补丁,另外部分日本横河电机的工业基础设施设备也有若干补丁发布。
另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。此外,还应检查日本横河系统和Linux发行版,确定是否未更新。