10月24日， GeekPwn2017国际安全极客大赛在上海召开，知名持牌第三方支付机构拉卡拉旗下智能POS产品在大赛中被爆存在重大安全漏洞，挑战选手仅用21分钟即攻破POS机并成功复制银行卡进行消费。

　　现在使用消费的情况越来越少了，很多商家开始采用多合一的智能POS机收单。与传统POS机相比，智能产品带来了丰富功能，也产生了许多问题。你的一次刷卡行为，可能会留下什么？仅有的消费金额？卡里余额？甚至是账号密码？

　　手捂着输密码，银行卡密码就不会丢吗？这场攻破赛的挑战者是来自盘古团队的闻观行和赵振江，他们要展示的是利用拉卡拉POS设备的漏洞，在POS机器中替换关键应用软件，然后获得所有在POS机上的刷卡信息，并复制银行卡进行消费。

　　破解紧张进行中，因为现场蓝牙设备过多，存在一定干扰，目前破解尚未成功，距离结束仅剩8分钟。雷锋网报道中提及，“在这组选手挑战过程中，现场环境受到了较多未知来源的蓝牙干扰，这可能是现场观众无意打开的，也可能是有人刻意为之，难不成拉卡拉派了间谍？”！

　　时间剩余仅剩下1:29秒，已经找到现场干扰源，主办发提供的胸卡自带蓝牙，因为有限空间内设备太多，导致干扰过大。目前选手改用有线连接方式进行数据传输。

　　很遗憾，20分钟倒数计时结束，未能完成现场破解演示，但是这并不代表拉卡拉POS机绝对安全，应现场观众要求，多给选手5分钟，采用有线连接方式进行继续破解，不知道是否可以成功？

　　拉卡拉成立于2005年，于2011年5月3日成功获得人民银行颁发的《支付业务许可证》，目前已经续展成功有效期至2021年5月2日。拉卡拉支付牌照业务类型覆盖互联网支付、移动电话支付、数字电视支付、银行卡收单、预付卡受理，其在国内第三方移动支付领域和线下银行卡收单行业保持交易规模前三。

　　2017年3月初，根据首次公开IPO申报稿，拉卡拉拟发行不超过4001万股，目标登录深交所创业板。同年9月，拉卡拉因申请文件不齐备等被证监会中止IPO并被证监会列入中止IPO审查名单，拉卡拉官方称，中止IPS是由于律师事务所更换签字律师所致。目前尚未有最新进展的消息。

　　根据现场演示及赛后采访获知，演示交易的属于磁条卡，而磁条卡交易已早早的被央行叫停。在央行下发《中国人民银行关于进一步加强银行卡风险管理的通知》中早已规定规定，自2017年5月1日起，全面关闭芯片词条复合卡的磁条交易。若有尚留存磁条卡的持卡人，可带上身份证件到相应柜台更换芯片卡。

　　支付终端可以说是现代社会中的“钱袋子”，不容有失，终端厂商和支付机构需要严格控制终端布防，加强动态监测，预防交易风险，提升安全防范意识，协力解决软硬件问题。