Posted at 29 October 2014
CurrentC System Attacked Soon After Some Merchants Block Apple Pay
By Wayne Rash

2014年10月29日
对Apple Pay说“不”？CurrentC未上线就被黑

随着对安全漏洞的攻击越来越多，CurrentC所遭受的攻击微不足道。通过一封支付卡服务发送的电子邮件，有人侵入了电邮系统，窃取了大量的电子邮件地址。CurrentC采取了标准应对措施，并通知可能因该漏洞被攻击的每个用户。
CurrentC是由零售巨头组建的Merchant Customer Exchange （MCX）公司开发的一款提供支付卡服务的移动支付应用。据报道称，这款应用可以免除信用卡支付的手续费，同时使零售商可以跟踪消费者的购买行为习惯。
CurrentC最近备受诟病，因为CurrentC合同规定MCX成员不得接受其他移动支付方式。
这些合同条款促使起初同意采用Apple Pay支付应用的商家突然改变做法，并且关闭了Google Wallet应用。为达到该目的，两大主要的医药零售连锁商CVS和Rite Aid均关闭了基于近场通讯技术（NFC）的支付系统，并禁止客户使用非接触式信用卡支付方式。
这两个医药零售连锁商关闭NFC支付应用的做法如期触怒了使用其他移动支付系统的用户，并开始了抵制运动对拒绝其他的移动支付应用的行为进行抗议。迄今为止，抵制运动以支持其他移动应用的方式体现，但有建议称，这次CurrentC被黑客攻击可能就是反击的一种方式。
CurrentC称，被窃取的信息仅包括一部分他们所记录的电子邮件地址。在致被感染的用户的邮件中，CurrentC表示，在过去的36小时内，无授权的第三方侵入安全系统，参与CurrentC支付系统测试的用户的电子邮件地址可能被泄露。根据MCX安保人员的调查确认，除此之外，没有其他信息出现泄露。
电子邮件地址被盗导致的一个重大事件是MCX公司决定在10月29日召开了记者发布会。据MCX执行总裁Dekker Davison称，被盗的电子邮件地址事实上来自于公司的电邮服务器，而不是MCX公司本身。Davison强调，CurrentC支付应用以及相应的云服务并未被攻破。在记者发布会上，Davison不遗余力的描述了CurrentC如何运行，以及消费者实际需要提供哪些信息。他还表示，MCX和CurrentC的成员可自由选择是否使用Apple Pay。CurrentC已配置了两个国家信用卡支付系统，并希望与所有的主要信用卡合作。
Davison表示，比质疑CurrentC更重要的是，消费者可以自愿决定向商家提供多少信息量。在2015年初CurrentC时，该应用将可以由消费者自愿完全匿名，并可与Apple Pay同时使用。
Davison声称，商家将可以在使用CurrentC的同时，无偿使用Apple Pay和Google Wallet支付应用。MCX为CurrentC选择了二维码识别方式，因为它可以实现近端支付，并且不需要NFC设备。然而，MCX现在还不支持Windows Phone和黑莓OS系统。
谈到MCX对CurrentC的计划，Davison指出，大约自从报道称CVS和Rite Aid下架Apple Pay之后的七八天里，MCX一直处于循环网络攻击的接收端。他说，MCX已经预见到攻击事件，并为之做好了应当准备。我们正在挑战现状。当你触动一个巨大的业态时，你就可以预见到可能被攻击。
关于MCX和CurrentC的现状不明朗的是，该公司面对越来越多的质疑，是否决定改进方式方法，是否该公司在采取措施之前未曾与公众沟通自己的计划。在记者招待会上，该公司试图发布一张图片， 表示公司将提供一项寻求使商家和消费者达到共赢的服务。
与该图片形成鲜明对比的是，最初的报道称MCX和其零售商成员完全致力于免除迫使客户只能使用借记卡的信用卡支付手续费。
如果MCX与CurrentC一直为促进交易而共同努力，那么大部分的批评可能是由于公司不愿意谈论这件事情。
零售商下一步将如何作为才是真正的考验。CVS和Rite会重新上架NFC支付吗？采取CurrentC支付应用的零售商会与Apple Pay开展合作吗？MCX表示其努力遭到了误解。也许是这样的，如果是这样，很好，没有任何为对抗Apple Pay采取的行动。但事实胜于雄辩。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)