アカウント名:
パスワード:
某そこそこ大きい小売店のPOSレジはWindowsXP EmbeddedでPOSサーバはWindows2003などが使われております建前上はPOSサーバのデータを閲覧できる操作端末は店内に1台限りで専用ソフトにパスワードを入力しないとデータにアクセス出来ないことになっており、パスワードは管理職で無いと知らないことになっています、が
問題1、管理職しか知らないはずのパスワードを多くの店舗で社員どころかパートも知っていることが多い問題2、そもそもパスワードが端末自体のiniファイルに平文で保存問題3、パスワード以前にPOSサーバのレシートデータがあるディレクトリが操作端末にフルアクセスでマウント問題4、レシートデータは平文のプレーンテキストでクレジットカード情報全桁がマスクもされずに記載問題5、そもそも店内の全ての業務PCからPOSサーバにアクセス可能問題6、「アクセス」とはsamba、FTP、リモートデスクトップ(しかも管理者権限)である問題7、POSサーバのユーザー名/パスワードは容易に想像できる組み合わせかつ、どちらの桁数も短い上全店共通問題8、操作端末、業務PCともに管理者権限で動いているので何でもし放題問題9、そもそもサーバルームに誰でも入れる、と言うか鍵もかかってないしカメラも無い、店によっては倉庫として使用
マルウェアなんて無くても問題起きそうなんですが、何で今まで問題起きてないのか不思議で仕方が無い
この様なお客様まで どこで聞きつけたのか”PCI-DSS” を といってくるのが、なんとも...
従業員や顧客や出入り業者など関係者の信頼関係に頼ることができれば、セキュリティにコストを掛けなくて済む。極限まで原価低減を要求されるような場合、初期費用だけでなく普段の運用コスト(作業効率の低下)が馬鹿にならない。互いに信頼を築くというのは、長期的に見ると大変効率的な戦略。
まあ顧客データも扱うなら、操作時に共通化したパスワードの代わりに各自のパスワードくらいは入力させて操作履歴を残すとか、不審な操作を管理者に通知させるとか位はあった方がいいとは思うし、クレジットカード情報まで扱うならこれじゃ駄目だね。
普段の作業効率を下げずに、店の売り上げや仕入れの情報くらい漏れてもいいけれど、顧客情報だけは隔離して保護できる、そんなシステムを開発できたらそこそこ売れるかも。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
某スーパーのお話 (スコア:1)
某そこそこ大きい小売店のPOSレジはWindowsXP EmbeddedでPOSサーバはWindows2003などが使われております
建前上はPOSサーバのデータを閲覧できる操作端末は店内に1台限りで専用ソフトにパスワードを入力しないと
データにアクセス出来ないことになっており、パスワードは管理職で無いと知らないことになっています、が
問題1、管理職しか知らないはずのパスワードを多くの店舗で社員どころかパートも知っていることが多い
問題2、そもそもパスワードが端末自体のiniファイルに平文で保存
問題3、パスワード以前にPOSサーバのレシートデータがあるディレクトリが操作端末にフルアクセスでマウント
問題4、レシートデータは平文のプレーンテキストでクレジットカード情報全桁がマスクもされずに記載
問題5、そもそも店内の全ての業務PCからPOSサーバにアクセス可能
問題6、「アクセス」とはsamba、FTP、リモートデスクトップ(しかも管理者権限)である
問題7、POSサーバのユーザー名/パスワードは容易に想像できる組み合わせかつ、どちらの桁数も短い上全店共通
問題8、操作端末、業務PCともに管理者権限で動いているので何でもし放題
問題9、そもそもサーバルームに誰でも入れる、と言うか鍵もかかってないしカメラも無い、店によっては倉庫として使用
マルウェアなんて無くても問題起きそうなんですが、何で今まで問題起きてないのか不思議で仕方が無い
Re:某スーパーのお話 (スコア:1)
この様なお客様まで どこで聞きつけたのか”PCI-DSS” を といってくるのが、なんとも...
Re: (スコア:0)
従業員や顧客や出入り業者など関係者の信頼関係に頼ることができれば、セキュリティにコストを掛けなくて済む。
極限まで原価低減を要求されるような場合、初期費用だけでなく普段の運用コスト(作業効率の低下)が馬鹿にならない。
互いに信頼を築くというのは、長期的に見ると大変効率的な戦略。
まあ顧客データも扱うなら、操作時に共通化したパスワードの代わりに各自のパスワードくらいは入力させて操作履歴を残すとか、不審な操作を管理者に通知させるとか位はあった方がいいとは思うし、クレジットカード情報まで扱うならこれじゃ駄目だね。
普段の作業効率を下げずに、店の売り上げや仕入れの情報くらい漏れてもいいけれど、顧客情報だけは隔離して保護できる、そんなシステムを開発できたらそこそこ売れるかも。