評論 > 存照 > 正文

5700萬中國產刷卡器秘密偷傳數據 不止如此……

—名家專欄:5700萬中國產刷卡器曝安全隱患

繼Zoom和TikTok之後信用卡用戶數據或泄漏給中共

錢包內的幾張信用卡。(shutterstock)

美國及其盟國在使用中國科技產品的問題上太大意了,最近美國政府發現,中國製造的信用卡讀卡器把美國用戶的數據發回中國,而廠商卻給不出一個合理的解釋。

美國財政部報告顯示,幾百萬台中國製造的POS(point-of-sale,銷售時點信息系統)設備,即收銀台上的刷卡機,很可能在把消費者數據傳給中國。財政部的測試顯示,這些數據被加密後傳給位於中國的一些匿名第三方機構。

彭博社引用美國財政部網絡安全和關鍵基礎設施保護辦公室(OCCIP)一封信件上的說法,這些數據傳輸的動作「對於正常的支付交易處理來說是不必要的」。流向中國的數據,比正常支付交易所需的量更大、更頻繁。

「財政部的初步評估認為,這些設備進行的數據傳輸使消費者數據的安全性受到威脅。」一位財政部發言人告訴彭博社。

這些設備來自電子支付終端製造商中國公司百富環球(Pax Global)科技公司的子公司。該公司宣稱,對於數據安全性的顧慮是「謠言」。公司總部設於香港,研發及營運中心主要位於中國深圳。百富稱他們製造了5700萬台支付終端,在世界120個國家使用。

美國金融公司環匯公司(環球支付公司,Global Payments Inc)4月2日宣布,約150萬張信用卡的卡號被泄露。(Chris Hondros/Getty Images)

10月26日,美國FBI搜查了百富位於佛羅里達州傑克遜維爾(Jacksonville)的辦公室。兩天後,該公司安全服務部門副總監辭職。

英國安全機構也在調查這家中國設備製造商。

網絡安全專家克雷布斯(Brian Krebs)說,FBI的搜查不僅是因為這家公司設備有著「異常的數據傳輸」行為,而且還和網絡攻擊、駭客行為,以及在美國、歐盟機構內非法收集數據相關。

佛羅里達金融公司FIS Worldpay的一位發言人表示:「這些(百富)設備自動會連接一些網站,而這些網站在他們提供的設備說明書裡面沒有提到。我們向百富提出質疑,得不到令人滿意的答案。」出於對數據安全的考慮,FIS Worldpay不得不換掉百富設備,改用美國和法國製造的設備。

這一事件只是中共科技設備黑暗面的冰山一角。中國製造的其它科技產品,像Zoom、TikTok(抖音)、電腦、手機,已經把世界各地上億用戶的數據都暴露在中共政府的監控之下。

2020年,視訊會議軟體Zoom被下載了4.85億次,它的安全問題仍未解決。同年,FBI向Zoom發出安全問題警告。美國國防部及其下屬機構已經禁止使用該軟體。中共政府擁有Zoom軟體的加密密碼,所有使用這個軟體開會的數據都流經中國的伺服器。

然而在2020年,世界上20個國家共9萬所學校都做出這個錯誤的決定:使用Zoom軟體進行視訊會議。Skype和Google提供的視訊服務質量更好,但是更多人在使用Zoom。

Zoom的用戶中很高比例是兒童,他們不把安全警告當回事。

Business of Apps最近發表的一篇文章說:「Zoom被發現未經授權向臉書發送數據。」專家還發現Zoom的加密性能不達標。文章還說:「政府機構企業(加拿大和台灣)、多家大機構(SpaceX和NASA),以及一些學校董事會(紐約和台灣)都已經禁止使用Zoom軟體。」

就在今年9月底,Zoom軟體還被發現具有執行遠端代碼的漏洞。這意味著駭客通過網際網路可以控制用戶的電腦。Zoom宣稱已經找到漏洞並修復。也正是他們宣布修復的消息,我們才知道還有這樣大的漏洞。在過去的幾年裡,情況一直如此,直到專家逮住它的漏洞提出,他們才不得不承認、去修復。天知道它們還存在什麼漏洞!請別用Zoom了。

TikTok和中共政府的關係就更密切了。2020年這款應用程式被下載了8.5億次,至今總計下載30億次。其中28%的用戶不滿18歲,59%是女性。2020年,北美有1.05億用戶。

TikTok屬於字節跳動(ByteDance)公司,總部在北京

出於對安全性的顧慮,2020年6月印度禁止使用該軟體。兩個月後,時任總統川普簽署行政令,要求TikTok或者和字節跳動分家,或者被一家美國公司收購。然而,拜登上台後取消了這項要求,這真是很不明智。

The Information消息說,今年4月,北京政府增持了字節跳動1%的股份,在董事會增加了一個席位。

作為回應,參議員馬可‧盧比奧(Marco Rubio)譴責了拜登政府,他說:「不能再假裝TikTok不受控於中共。即使在今天(這個消息公布)之前,很明顯TikTok對個人隱私和美國國家安全都存在重大威脅。北京的擴張舉動明確展示,這個極權把TikTok看作是這個黨國的分支機構,美國也要認清這一點。總統拜登必須立即行動解決字節跳動和TikTok的安全問題。」

很重要的是,盧比奧提出解決這類問題不能滿足於「按下葫蘆浮起瓢」的局面。「我們必須建立一套標準框架,所有高風險、外國的應用程式必須符合標準才能在美國的通信市場和設備上運行。」

不僅對於軟體是如此,對待來自與中共關係密切的廠商的電腦、平板電腦和手機都是如此。90%的電腦、70%的手機都是在中國生產的。使用這些硬體都會帶來很高的風險。

手機屏幕上的TikTok商標示意圖。(Photo by MARTIN BUREAU/AFP via Getty Images)

中共控制了世界上大部分電子設備的生產。這是一個現在在世界上瘋狂擴張其權力的政權。為了便利和低成本,我們總是忽略它帶來的惡果,但是這樣做風險很大。

考慮到使用中共提供的科技產品和技術的高風險,美國財政部已經透露出拒絕使用中共技術的想法。

「OCCIP建議美國金融系統內的利益各方,採取基於風險評估的方法,保護他們的消費者數據、企業網絡和所提供服務的安全性。」財政部在本月關於調查百富的信件中說,「銀行和金融服務提供者必須把這套風險評估方法用於他們的供應鏈。」

儘管這樣的警告很好,但這力度根本不夠。我們需要法律和執行力配合去貫徹這套標準,保證美國及盟國擁有安全的技術環境。我們的資訊安全取決於美國和盟國對所有資訊技術的控制和保護,從種子投資到所有權、到硬體製造,再到軟體的編寫和操作。任何一個環節都不能忽視。

美國及其盟國現在仍然不能保護我們的民主社會免受與中共關聯的技術製造商的侵害,包括TikTok等軟體和計算機、電話和信用卡支付設備等硬體,這不合情理。這把美國及盟友的隱私、工人、行業結構的多樣性都置於風險之中。

作者簡介:

安德斯‧科爾(Anders Corr),2001年獲頒耶魯大學的政治學學士及碩士學位,2008年榮獲哈佛大學的政府管理學博士學位。他是科爾分析公司(Corr Analytics Inc.)總裁,《政治風險雜誌》(the Journal of Political Risk)發行人,研究領域廣涉北美、歐洲和亞洲等地。他撰寫了《權力集中》(The Concentration of Power,2021年即將出版)和《禁止入侵》(No Trespassing)等著作,並主編了《大國大戰略》(Great Powers, Grand Strategies)一書。安德斯‧科爾的推特帳號:@anderscorr。

 

原文:No More China Tech:57 Million Credit Card Machines Likely Compromised刊登於英文《大紀元時報》。

責任編輯: 趙亮軒  來源:大紀元 轉載請註明作者、出處並保持完整。

本文網址:https://tw.aboluowang.com/2021/1114/1671599.html