新型支付平台Samsung Pay被攻击，用户个人隐私信息或被追踪

一个安全分析师在周三表示，三星子公司LoopPay的安全漏洞可能已经被间谍用来收集消费者信息从而获利。三星已经承认LoopPay受到了攻击，这家公司在二月被三星收购，他们的技术被Samsung Pay 使用。三星说黑客攻破了LoopPay的办公室网络，并不是Samsung Pay所使用的系统。根据三星的说法，现在受影响的服务器已经被隔离，并没有危及个人信息。

但是，根据纽约时报的报道，军用软件公司TripWire的高级安全分析师Ken Westin说，这次攻击可能并不是为了窃取消费者数据进行出售。黑客可能是想要访问LoopPay的代码，通过这些收集个人信息，Westin说道。

咨询公司Hold Security的首席执行官Alex Holden赞同了这一观点。他认为攻击者是为了想知道“谁买了什么”。例如，一个重要人物在洛杉矶买了一杯咖啡，渗透攻击者可能了解到那个人正在进行个人旅行。虽然LoopPay可能已经解决掉了这个漏洞，但仍可能继续受到安全研究者所说的APT攻击。攻击者可能会不断回来探索公司基础设施的不同部分寻找漏洞，为后续的渗透打基础。三星应当考虑到这种情况，Westin说道。

然而，不应该因为这次攻击事件就阻止消费者使用Samsung Pay。Westin 说，“我会小心谨慎，你们也应该提供新型支付服务，但这并不是让我不使用新型服务的理由。”

LoopPay的网络在二月份就已经被攻破，就在三星用2.5亿美元买下它之前不久，根据纽约时报报道，黑客在LoopPay的网络中潜伏了5个月之久，直到8月下旬，对另一个组织进行追踪时才发现了LoopPay的数据。

Westin说，这显示了可能有较强的入侵预防工具，但却很弱的检测能力。黑客可能根本不在攻破的公司系统中使用会被识别出的恶意软件，而只利用系统组件，例如Windows的Powershell。“对于很多企业而言，这是一个巨大的挑战”，他说道。

Samsung Pay是新型支付平台，无线移动设备可以用它到接入系统的销售点买东西。类似于Apple Pay，它的设计比传统信用卡更安全，因为每次付款不会使用相同的卡号。根据三星的说法，系统会使用加密的令牌和证书信息，并且它在使用后即失效。

三星收购LoopPay是为了一项技术的发展，磁性安全传输(Magnetic Secure Transmissio)，让移动设备模拟磁条卡。这项技术会帮助Samsung Pay使用旧的支付系统。

沃通CA致力在线支付安全，受邀参加第九届中国支付业国际峰会http://www.evssl.cn/ev-ssl-news1/payment-2015.html

银行出台网络支付安全新举措http://www.evssl.cn/ev-ssl-news2/2018.html

工行网银被指存漏洞：快捷支付风控不到位http://www.evssl.cn/ev-ssl-news2/2578.html