Kako je moguće kupiti MacBook Pro za samo jedan dolar

Vesti, 29.08.2017, 10:30 AM

Kupovina veoma skupih uređaja kao što je Appleov MacBook za samo jedan dolar je nešto što je moguće zahvaljujući ranjivosti u SAP POS sistemima, tvrde stručnjaci firme ERPScan.

Oni su u videu objavljenom na YouTubeu objasnili kako bezbednosni propust u SAP POS Xpress Serveru može biti zloupotrebljen za izmenu cene određenog proizvoda, presretanje plaćanja i prikupljanje finansijskih podataka kao što su podaci o platnim karticama korišćenim u određeno vreme.

Propust je u SAP POS Xpress Serveru koji upravlja plaćanjima preko SAP POS terminala u prodavnicama. Istraživanje koje je sprovela firma ERPScan pokazuje da su šanse da napad bude uspešan velike jer u sistem nije implementirana višestruka provera autorizacije na strani servera.

Stručnjaci ERPScana kažu da napad mora biti pokrenut sa iste mreže koju koristi sistem za plaćanje, tako da sajber kriminalci moraju biti fizički prisutni u prodavnici da bi mogli da iskoriste propust. To je moguće sa vrlo jeftinim hardverom, kao što je Raspberry Pi i drugi koji ukupno koštaju svega 25 dolara.

Teorijski, napad može biti pokrenut daljinski, ali samo ako je mreža izložena spoljnim konekcijama.

Ako je napad uspešan, moguće je uploadovati maliciozni konfiguracioni fajl na SAP POS Xpress Server bez ikakve provere autentičnosti. Novi parametri zavise samo od mašte napadača. Oni mogu da postave specijalne cenu ili sniženja, vreme do kad popust važi, posebne ponude po akcijskim cenama i druge.

Dobro je što je propust već prijavljen kompaniji u aprilu ove godine, pa su ispravke već isporučene kako bi sprečili ovakvi napadi.

A kako su istraživači ERPScana kupili MacBook Pro za samo jedan dolar, zahvaljujući ovom popustu, možete pogledati ovde.