拉卡拉POS机有重大安全漏洞，刷过的银行卡容易被盗！

投稿用户 • 2023年3月1日 am2:30 • 行业动态 • 阅读 165

拉卡拉POS机有重大安全漏洞，刷过的银行卡容易被盗！

文章首先发布在微信官方账号支付之家。

zfzjcn微信

www.zfzj.cn丨网址

支付之家网（WWW.ZFZJ.CN） 10月24日， GeekPwn2017国际安全极客大赛在上海举行。著名的第三方支付机构拉卡拉的智能POS产品在比赛中出现了重大的安全漏洞。挑战玩家在21分钟内突破POS机，并成功复制银行卡消费。

现在现金消费的使用越来越少，许多企业开始使用多合一的智能POS机来收到订单。与传统的POS机相比，智能产品具有丰富的功能和许多问题。

如果你手里拿着输入密码，你不会丢失银行卡密码吗？这场突破赛的挑战者是盘古队的闻观行和赵振江。他们想展示的是使用它拉卡拉POS更换POS机中的关键应用软件，获取POS机上的所有信用卡信息，并复制银行卡进行消费。

10:00:20 2017-10-24

破解项目：复制拉卡拉POS机银行卡

破解设备：拉卡拉云POS A8

评委：诸葛建伟、万涛

破解团队：上海盘古团队

选手：赵振江闻观行

10:05:16 2017-10-24

在拉卡拉POS机破解过程中。

10:08:19 2017-10-24

在破解过程中，由于现场蓝牙设备过多，存在一定的干扰，破解尚未成功，距离结束仅8分钟。雷锋在报道中提到，“在挑战这组球员的过程中，现场环境受到了更多未知来源的蓝牙干扰，这可能是观众无意中打开的，也可能是有人故意做的。拉卡拉派了间谍吗？”

10:26:41 2017-10-24

剩下的时间只剩下一个了:在29秒内，我们找到了现场干扰源。主办方提供的胸卡有自己的蓝牙。由于有限空间内设备过多，干扰过大。目前，玩家使用有线连接进行数据传输。

10:29:31 2017-10-24

不幸的是，倒数计时结束了20分钟，现场破解演示没有完成，但这并不意味着拉卡拉POS机绝对安全。根据观众的要求，给玩家5分钟，并使用有线连接继续破解。我不知道它是否能成功？

10:32:27 2017-10-24

加时赛，1分25秒，拉卡拉POS机破解成功，目前正在验证中。

10:37:12 2017-10-24

玩家成功阅读银行卡信息、密码，并使用复制新卡成功消费，虽然破解不成功，但演示成功！

以上图片来自安全客户。虽然挑战者没有挑战成功，但漏洞依然存在。毕竟现实中的网络黑客不会只试图在20分钟内突破POS机。

根据公开信息，拉卡拉成立于2005年，并于2011年5月3日成功获得中国人民银行颁发《支付营业执照》，截至2021年5月2日，已续展成功有效。拉卡拉支付许可证业务类型包括互联网支付、移动电话支付、数字电视支付、银行卡收单、接受预付卡是一家难以购买的全许可证支付公司，在中国第三方移动支付领域和线下银行卡收单行业保持前三名。

2016年2月，拉卡拉试图重组上市公司“资产注入”西藏旅游“。重组计划公布后，引起了许多质疑。市场认为，西藏旅游通过精致的设计故意避免借壳，上海证券交易所还发出了多封重组询价信，要求公司进行解释。在巨大的压力下，西藏旅游业于去年6月终止了与拉卡拉的重组。

今年3月3日，中国证监会披露了拉卡拉在创业板上市的招股说明书。IPO，系拉卡拉独立拆分“拉卡拉支付”业务上市，而不是集团级IPO。根据首次公开IPO申报，拉卡拉计划发行不超过4001万股，目标是登录深圳证券交易所创业板。

六个月后，拉卡拉因申请文件不完整而被中国证监会暂停IPO。拉卡拉说，中国证监会暂停IPO审查名单的原因是律师事务所更换了签名律师。目前还没有最新进展的消息。

此外，拉卡拉的收单业务也是一个严重的灾区。去年，三家子公司因违规行为受到央行不同程度的处罚。2016年3月17日，拉卡拉宁波2016年10月25日，拉卡拉福建分公司未按规定进行客户身份识别，未按规定保存客户身份数据和交易记录，未按规定提交可疑交易报告；2016年12月22日，拉卡拉安徽分公司违反银行卡收单业务相关规定给予警告。

支付之家网（ZFZJ.CN）据了解，早在2015年10月24日的世界级黑客大赛GeekPwn嘉年华上，拉卡拉的产品就出现了安全漏洞，选手成功突破拉卡拉收款宝POS机，使卡内余额莫名其妙地消失。还有盒子支付POS机等。

玩家通过Android手机绑定拉卡拉收款宝POS机，并在手机上安装Xposed模块劫持交易信息。只要用户用银行卡查询余额，手机就会劫持交易信息，用另一张卡刷卡转账，输入任何密码，就可以转移之前银行卡上的余额。在整个过程中，玩家本身没有直接联系银行卡，更不用说获得卡密码了。

去年4月，央行发布了《非银行支付机构分类评级管理办法》

中国人民银行还明确表示，“在支付业务设施安全和风险监控方面存在重大缺陷，或存在大规模盗窃、销售、泄露、客户信息丢失”，应指导其客观审慎的更新申请，敦促引导其合并重组，调整支付业务类型或覆盖范围，安全安排市场退出。

离钱越近，安全问题就不能儿戏，我们也相信拉卡拉能尽快修复漏洞！

– – – – – – – – – –

陈晨(微信zfzjcc)

支付之家网（WWW.ZFZJ.CN）

*作者对文章的独立看法并不意味着支付之家的网站立场*

拉卡拉POS机免费申请，免费办理，卡拉合伙人，添加QQ/微信：191506129 备注：POS机！

本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至191506129@qq.com 举报，一经查实，本站将立刻删除。
如若转载，请注明出处：https://www.hhhrkala.com/428.html

拉卡拉POS机有重大安全漏洞，刷过的银行卡容易被盗！

相关推荐