在RSA2015会议上，反欺诈斗士 David Byrne 和 Charles Henderson表示，世界上最大的销售终端（POS）系统供应商之一，从1990年开始就一直使用默认密码——166816。更糟糕的是：大约90%的客户仍然在使用这个密码。

愤怒的用户把它的缩写POS解释为”Piece of Shit”，并非常蔑视的把其他受损的销售系统视为一堆粪便。

欺诈者需要物理访问到POS，然后通过使用paperclip打开控制面板利用它。

这种对POS的物理攻击实际上非常常见，并且对于恶意攻击者来说非常小儿科。罪犯在解锁和弹框之前是不会停止的。

Bishop Fox的顾问Byrne 和Trustwave测试的主管Henderson表示密码是Z66816和166816，1和Z是根据POS机键盘布局变化的——甚至作为假设自己代码是唯一的开关设备而被用来绕过竞争对手厂商。

“这是出产POS机销售设备最大的生产厂家之一的默认密码，并且至少从1990年就开始使用了，” Henderson在昨天旧金山举行的RSA大会上说。

“我们从制造商手里看到的设备十次有九次，也就是90%的时间都是这个密码。”

“其实我最近看到不同制造商设备上都设置为这个密码，用户都认为这个密码是唯一给他的。”

“供应商称需要用管理员身份运行完全是一派胡言，该死的谎言。”Henderson说，”我知道为什么他们要这么做，它就像凤凰涅磐。但是如果事实上（POS系统）需要以管理员身份运行，这就暗示着你的供应商一点也不重视安全问题。”

这两个人重申了一些他们在Trustwave处理过的诈骗犯罪和一些没有希望的客户案例，POS机在Trustwave已经饱受争议了。

对于一个主要的美国零售商来说，一些罪犯伪装成买东西的顾客，当他们拧开服务器机架然后载入交易，看到CCTV之后像员工点头，在这之后，商店失去了处理信用卡的能力。

另外，取证结果显示，这里有一个记录了很多重复键（例如aaaa gggg bbbb）的键盘记录器进入了POS服务器。它表明很多工作人员都曾使用机器玩Guitar Hero，使命召唤等游戏甚至下载黄片。

取证甚至在键盘记录的基础上建立了员工所玩的曲目。

这两个人建议顾客假设商店的POS系统中没有安全措施，但是他们谎称自己是有安全防御措施的。相反，顾客应该进行严格的渗透测试。