مع تزايد معدل استخدام أجهزة البطاقات الائتمانية والاعتماد عليها في متاجر البيع بالتجزئة المختلفة ،فقد ظهرت بها بعض العيوب الأمنية، حيث أصبحت مهددة بقيام القراصنة في التحكم بتلك الأجهزة. وأقدم باحثون من شركة Positive Technologies للحلول الأمنية على فحص سبعة أجهزة لقراءة البطاقات الائتمانية حيث تمكنوا من العثور على ثغرات مكنتهم من تعديل قيمة المبالغ المدفوعة، بل استطاعوا أيضًا التحكم بالجهاز بشكل كامل من على بعد، وذلك من خلال استخدام تقنية البلوتوث أو بعض تطبيقات الهواتف الذكية. وأكد الباحثون: ” بدأنا بجهازين مخصصين لقراءة البطاقات الائتمانية، فالشركات الأربع الكبرى المصنعة لهذه الأجهزة تدرك الأمر ولكن نقاط الضعف ليست موجودة جميعها بنفس الشكل في جميع موديلات ، فمثلا في حالة أجهزة شركتي سكوير وباي بال فإن نقاط الضعف وجدت في أحد مكونات الجهاز الداخلية التي تم تصنيعها بواسطة شركة وسيطة تدعى Miura، وقد قام الباحثون بالإعلان عن النتائج التي توصلوا إليها في مؤتمر Black Hat Security يوم الخميس الماضي، مؤكدين أنه يمكنهم استغلال الأخطاء المتعلقة بالاتصال بجهاز قراءة البطاقات الائتمانية من خلال تقنية البلوتوث أو تطبيقات الهواتف لاعتراض المعاملات المالية أو تعديل الأوامر الخاصة بالجهاز. وأضافوا أن هذه الأخطاء قد تسمح للقراصنة بتوقيف معاملة مالية تتم عبر الجهاز ببطاقة ائتمانية، كما تسهل لهم نسخ بيانات البطاقة الائتمانية المستخدمة لإجراء المعاملة المالية ، و يمكن أيضا للقراصنة أن يجعلوا جهاز قراءة البطاقات الائتمانية يبدو وكأنه يرفض المعاملة ليجعل المستخدم يكررها عدة مرات، أو لتغيير إجمالي معاملة مالية ببطاقة تعمل بتقنية magstripe إلى حد 50 ألف دولار من خلال اعتراض حركة المرور وتعديل قيمة المعاملة بشكل سري، حيث يمكن للقراصنة الحصول على موافقة العميل على معاملة عادية تبدو قيمتها أكثر بكثير. في مثل هذه الأنواع من عمليات الاحتيال يعتمد العملاء على بنوكهم ومصدري بطاقات الائتمان لضمان خسائرهم، لكن magstripe هو بروتوكول موقوف والشركات التي تواصل استخدامه تتحمل المسؤولية. واستعرض الباحثون إمكانية قيام القراصنة في التحكم بتلك الأجهزة من خلال تثبيت إصدار قديم من البرنامج الثابت Firmware أو إصدار خاص بهم يحتوي على تعليماتهم البرمجية، حيث لاحظوا أن بإمكانهم التحكم من على بعد بجهاز قراءة بطاقات الائتمان موديل Miura M010 عن طريق استغلال نقاط الضعف في الاتصال بالجهاز والقيام بتنفيذ كود برمجي والدخول إلى ملفات نظام تشغيل الجهاز، وقد لاحظت جالاوي أن القراصنة يمكنهم استغلال هذا الأمر لتحويل وضع رقم PIN من وضع آمن ومشفر إلى أرقام مكشوفة وبذلك يستطيعون معرفة وتجميع أرقام PIN الخاصة بالمشترين، واجروا تقييم لأجهزة قراءة بطاقات الائتمان في مناطق بالولايات المتحدة وأوروبا حيث أن إعدادات تلك الأجهزة تختلف من مكان لآخر، وقد اكتشفوا أن جميع الأجهزة تقريبا بها نقاط ضعف.