Samsung Pay, l'ombra degli hacker cinesi

Samsung Pay, l'ombra degli hacker cinesi

Un gruppo di hacker cinesi potrebbe aver trafugato i dettagli della tecnologia alle spalle di Samsung Pay prima che questa debuttasse sul mercato. Secondo le aziende non vi sarebbero problemi di sicurezza, ma i dubbi rimangono

di pubblicata il , alle 14:32 nel canale Apple
Samsung
 

Il servizio di pagamenti mobile Samsung Pay che l'azienda coreana ha lanciato lo scorso mese di agosto è protagonista di un giallo: la società che si è occupata di realizzare la tecnologia di comunicazione tra dispositivo e terminale di pagamento è infatti stata vittima nei mesi passati di un attacco hacker che potrebbe aver portato alla sottrazione di segreti industriali capaci di mettere a rischio la sicurezza del sistema.

LoopPay è l'azienda statunitense che Samsung ha acquisito nel febbraio 2015 e che ha sviluppato la tecnologia alla base di Samsung Pay, un servizio concorrente ad Android Pay e Apple Pay e che, come questi ultimi, permette di utilizzare lo smartphone come "portafoglio elettronico" per effettuare pagamenti.

Il New York Times riferisce che durante il mese di marzo la compagnia è stata vittima di un attacco da un gruppo di hacker cinesi, conosciuto con il nome di Codoso Group. LoopPay ne è venuta a conoscenza 38 giorni prima del debutto di Samsung Pay. Di media, secondo un'indagine del Ponemon Institute, sono necessari 46 giorni prima che un attacco degli hacker possa essere considerato pienamente risolto. Ma il tempo necessario per riparare i danni è di norma più esteso nel caso di attacchi sofisticati come verosimilmente è stato quello a LoopPay. Il gruppo di hacker autore della compromissione opera con uno schema collaudato: si nasconde per lungo tempo nelle reti della vittima così da poter costruire ed occultare vari punti di accesso per poter rientrare a proprio piacimento.

Secondo le informazioni disponibili l'attacco avrebbe però toccato solamente la rete aziendale della compagnia, senza interessare il sistema che presiede alla gestione dei pagamenti. In particolare gli hacker erano interessati a recuperare le informazioni e i dettagli tecnici del meccanismo di funzionamento del sistema. Secondo Will Graylin, CEO di LoopPay e general manager di Samsung Pay, non vi è alcuna indicazione che gli hacker si siano infiltrati nei sistemi di Samsung o che i dati degli utenti siano stati esposti.

"Su Samsung Pay non vi è stato alcun impatto e in nessun momento sono state messe a rischio le informazioni personali per i pagamenti. Questo è stato un incidente isolato che ha avuto come obiettivo la rete corporate di LoopPay, che è un sistema fisicamente separato. Il problema alla rete aziendale di LoopPay è stato risolto immediatamente e non ha niente a che fare con Samsung Pay" sono state invece le parole di Darlene Cedres, Chief Privacy Officer di Samsung.

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Arios12308 Ottobre 2015, 14:56 #1
Io non capisco perchè qualcuno vorrebbe il proprio portafoglio in formato elettronico e poi su cellulare.........
Mi sembrano tutti pazzi quelli che ne usufruiscono.
non c'è un briciolo di sicurezza
litocat08 Ottobre 2015, 15:02 #2
Originariamente inviato da: Arios123
Io non capisco perchè qualcuno vorrebbe il proprio portafoglio in formato elettronico e poi su cellulare.........
Mi sembrano tutti pazzi quelli che ne usufruiscono.
non c'è un briciolo di sicurezza

Perchè l'ha fatto Apple e allora fa figo. Prima che lo facesse Apple, nessuno se lo filava (nonostante i tentativi di Google, che ha pensato al portafoglio elettronico prima di Apple).
bobafetthotmail08 Ottobre 2015, 15:32 #3
sottrazione di segreti industriali capaci di mettere a rischio la sicurezza del sistema.
Che sarebbe un eufemismo per dire che è un sistema fatto coi piedi che spera di rimanere sicuro perchè tiene i bug segreti.

Io non capisco perchè qualcuno vorrebbe il proprio portafoglio in formato elettronico e poi su cellulare.........
Che significa "portafoglio in formato elettronico?" non è un sistema che peremtte al cell di diventare una carta di credito?
*aLe08 Ottobre 2015, 15:35 #4
Originariamente inviato da: Arios123
Mi sembrano tutti pazzi quelli che ne usufruiscono.
Ammetto di non sapere come funziona, ma mi auguro bene che serva quantomeno l'impronta digitale (nei device che la supportano) o comunque l'inserimento di un PIN sul cellulare per "sbloccare" il pagamento tramite NFC (quindi un minimo minimo di sicurezza lato utente c'è... Poi se bucano la rete di chi fornisce il servizio non è colpa tua, e se il tuo PIN è 1234 o 6969 te lo meriti).

Personalmente se così fosse si potrebbe anche fare e sarebbe anche comodo, ma mi limiterei alle piccole spese.
Penso per esempio al casello autostradale (anche se già c'è FastPay per chi non ha il Telepass), penso al bar dove vai a berti un caffè, o al negozio dove compri un paio di scarpe e spendi un centinaio di euro (che già per me non è più un importo che rientra nella categoria 'piccole spese').
Ovviamente lo farei solo con una prepagata, almeno per il momento.
rainylord08 Ottobre 2015, 21:29 #5
Strisciare una carta di credito con o senza Chip non è più sicuro di una transazione mono-token come quelle implementate per i "Portafogli elettronici" di cui si parla.
Anzi.. molto più facilmente clonabile o leggibile in generale.
Mettere poi lo stesso numero in un sito web... uguale.
ApplePay, LoopPay e AndroidPay si prefiggono di scambiare informazioni uniche per l'ack di pagamento senza far circolare i dati di carta di credito. Poi, se fatti male o violabili.... questo dipende da tante cose. Io mi fido di ApplePay (lo uso da un po' qui negli Stati Uniti) in base a quanto esposto (dati sempre segregati, impronta digitale per la verifica, con dati segregati etc etc)... poi.. anche la VolksWagen vendeva motori TDI puliti....
Per ora ha funzionato

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^