Izbral je POS-terminal s priljubljenim sistemom Aloha proizvajalca NCR. Gre za enega največjih proizvajalcev, pred katerim je le Oraclov Micros System. Oh je ugotovil, da je sistem malomarno zaščiten. Kupljeni POS je bil v omrežju pri prodajalcu glaven (master, glej skico) in se je povezoval s centralnim strežnikom, a deluje tudi brez tega, tako da ga je bilo možno zagnati in preizkusiti. Ugotovil je, da so gesla kar privzeta in zelo očitna ("aloha"), povezava prek VNC pa ni šifrirana. Vsa gesla, tudi tista z administratorskimi pravicami, so bila enaka kot uporabniška imena računa.
To niso bile edine varnostne pomanjkljivosti, saj se je izkazalo tudi, da operacijski sistem Windows XP SP2 Embedded od leta 2007 ni dobil nobenih popravkov in posodobitev. Resda gre za okleščeno verzijo z manj možnostmi za napad, a je to vseeno problematično. Problematičen je bil tudi seznam zaposlenih, ki so imeli pravico do uporabe naprave, saj je vseboval imena, številke zdravstvenega zavarovanja, naslove, telefonske številke - skratka vse potrebno za krajo identitete. Čeprav se na POS-u ne hranijo številke kreditnih kartic, bi jih napadalci zlahka prestregli, saj je bil bralnik magnetnega zapisa povezan s terminalom brez kakršne koli zaščite ali šifriranja. Zadostoval bi že keylogger, kar je Oh tudi uspešno potrdil s preizkusom.
Izpostaviti je treba dvoje. Prva je že stara ugotovitev, da je treba vse elektronske naprave, ki so kdajkoli nosile podatke, brez prodajo ustrezno pobrisati. To niso le trdi diski in pametni telefoni, ampak tudi POS-terminali, tablice in podobno. V prihodnosti lahko pričakujemo, da bo treba čistiti tudi pametne ure, zapestnice in očala! Drugi poudarek pa zajema zanikrno varnost pri trgovcih in gostincih. Lani so hekerji vdrli v Target, ukradli več kot sto milijonov številk kreditnih kartic in povzročili ogromno škodo. Pa Target sploh ni bil edina žrtev. Napadalci so se lotili Targeta, ker so akcijo zastavili širokopotezno. Če bi bili skromnejši in bi se lotili nekaj manjših, verjetno dolgo časa tega ne bi nihče niti ugotovil.
