¿Un montón de hacks fáciles derrotan a las máquinas expendedoras?

Me quedo en el anonimato porque preferiría no avergonzar públicamente a mi empleador.

Trabajo en el departamento de Seguridad de la Información en la Oficina de Información y Tecnología en una institución de educación superior relativamente conocida.

Nuestra red es un desastre . Internet fue en gran parte un esfuerzo académico, y es entre las instituciones académicas donde la red mundial creció primero. La expansión que experimentamos es inevitable debido a la naturaleza de adopción temprana de las instituciones académicas y la estructura segmentada que experimentamos: cada universidad tiene su propio departamento de TI.

Hay grandes secciones de nuestras redes que están completamente desprotegidas o que carecen severamente en términos de protección de firewall. La seguridad aquí es mucho más laxa de lo que experimentaría en una entidad comercial.

DADO TODO ESTO, una cosa que tomamos en serio es PCI. Todo lo que acepta una tarjeta de crédito, incluidas las máquinas expendedoras , está bastante bien bloqueado. Podríamos estar exponiendo nuestros controladores de plantas de energía al mundo, pero nuestras máquinas expendedoras están ocultas de manera segura detrás de un firewall y en su propia VLAN privada.

Así que no, yo diría que “piratear” una máquina expendedora no es fácil porque deben ser administrados adecuadamente. Cualquier máquina expendedora que esté conectada a una red generalmente acepta tarjetas de crédito, y cualquier proveedor que acepte tarjetas de crédito debe cumplir con las regulaciones de PCI, que incluyen asegurarse de que su terminal esté seguro. (En realidad no soy un experto en PCI, por lo que puede haber excepciones de las que no tengo conocimiento, así que no dude en corregirme en los comentarios si sabe lo contrario)