Un proveedor de terminales point-of-sale no cambió las contraseñas por defecto de sus dispositivos en el último cuarto de siglo, según revelaron investigadores en la conferencia RSA 2015 la semana pasada.
El nombre de la firma no fue revelado en la presentación de Charles Henderson y David Byrne por motivos de seguridad, pero se dice que es un proveedor ampliamente utilizado. Si bien la contraseña por defecto puede (y debería) cambiarse, CIO reporta que en la mayoría de los casos los clientes creían que su clave "166816" era única. No es de extrañar que sigan existiendo conceptos erróneos como este, si rememoramos el caso de las cámaras IP con claves de administrador que transmitían por streaming lo que registraban.
Pero resultó ser que "166816" no era una clave única, ya que los investigadores estiman que el código se usó en el 90% de los productos Point-of-Sale de la compañía, que datan de 1990. Cualquier exploit requeriría acceso físico al equipo: The Register afirma que un ataque involucraría "abrir un panel usando un clip", maniobra que define como "un juego de niños".
Si bien en algunos casos la contraseña sí era distinta y podía variar a "Z66816", se debía a diferentes diseños de teclados más que a una diferencia a la hora de crear las claves. "De hecho vi a esta contraseña recientemente en el dispositivo de otro fabricante [de mano de un cliente] que pensó que la clave era única para él", dijo Henderson durante la charla.
Seún Geek.com, este enfoque laxo en la seguridad de las contraseñas no se limita a un proveedor aislado: otro fabricante tampoco ha cambiado sus claves por defecto en los últimos 9 años, y otro ha dejado el campo de contraseña completamente vacío. Ya sabemos que muchos usuarios siguen utilizando contraseñas fáciles de adivinar en sus cuentas y perfiles online, pero para algo tan ampliamente utilizado como terminales PoS, esto debería ser un llamado de atención en el ámbito de los fabricantes.
Ante este panorama, no es de extrañar que aparezcan amenazas como PoSeidon que buscan afectar a los dispositivos PoS, pero como de cotumbre, hay buenas prácticas a implementar para protegerlos y resguardar los datos de los clientes.