![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.png){kind=icon}
![[quick]](http://tweakimg.net/g/if/icons/world_link_cropped.png){kind=icon}
Hackers kunnen versleutelde en onversleutelde pincodes achterhalen, zo waarschuwen beveiligingsonderzoekers. Betalen met een pinpas zou onveilig zijn, maar volgens betalingsbedrijf Currence zijn de problemen in Nederland al verholpen.
Volgens het Amerikaanse beveiligingsbedrijf Verizon zijn hackers er in de VS in geslaagd om pincodes van creditcards en betaalpassen te achterhalen en daarmee miljoenen dollars buit te maken, zo schrijft Wired. Tot nu toe werd aangenomen dat criminelen deze codes uitsluitend konden achterhalen met methodes als phishing of skimming. Bij een inbraak bij de Amerikaanse retailketen TJ Maxx werden naar schatting veertig miljoen creditcard- en bankpasgegevens gestolen; naar nu blijkt zijn de criminelen erin geslaagd om de bijbehorende pincodes te ontcijferen.
Verizon stelt dat er twee zwaktes in het betalingssysteem zijn ontdekt die criminelen onversleutelde pincodes kunnen opleveren. De meest geraffineerde werkt via de hsm-modules die het dataverkeer tussen bijvoorbeeld een betaalautomaat en de servers van de bank moeten afhandelen. Pincodes moeten tijdens het gehele traject versleuteld blijven, om zo tussentijdse onderschepping nutteloos te maken. Tijdens het transport wordt de data echter tijdelijk door de hsm's gedecodeerd, waarbij alleen de pincode met een master key versleuteld blijft. Deze sleutel is echter opgeslagen in de hsm-module.
Het probleem is volgens Verizon dat een deel van deze hsm-modules door derden wordt onderhouden. Bovendien moeten de modules betalingsverkeer uit diverse landen kunnen verwerken, waarbij andere standaarden dan in de VS worden gebruikt. Hierdoor zou de software onnodig complex en vatbaar voor misbruik zijn. Ook kan een slechte configuratie van een hsm-module het mogelijk maken om versleutelde pincodes te achterhalen. Vervolgens zouden een aantal pincodes met brute-force-aanvallen achterhaald kunnen worden. Als er eenmaal een kleine hoeveelheid pincodes is ontcijferd, kan volgens Verizon elke volgende pincode ook worden gekraakt.
Verizon beschrijft ook een methode waarbij criminelen malware installeren op de server waar transacties worden afgewerkt. Omdat pincodes tijdens het afhandelen van transacties gedurende korte tijd onversleuteld in het werkgeheugen van de server aanwezig zijn, kunnen ze door de malware worden teruggevonden. Volgens Verizon-onderzoeker Bryan Sartin wordt er te veel op virusscanners vertrouwd en worden onbekende bestanden op de server nauwelijks opgemerkt. Zeker een derde van alle pin-diefstallen zou op deze manier worden uitgevoerd.
Thales-eSecurity, een belangrijke fabrikant van hsm-modules, zegt dat het niet op de hoogte is van de door Verizon geschetste aanvalsmethoden, maar claimt ook dat zijn hardware bij aanschaf veilig is. De fabrikant geeft echter wel toe dat zijn klanten de hsm-modules kwetsbaar voor aanvallen kunnen maken.
Om de beveiligingsgaten in het betalingssysteem van de banken te kunnen dichten, moet volgens Verizon een geheel nieuw systeem voor bancaire transacties worden ontwikkeld. Backwards compatibility zou daarbij uit den boze zijn. In de VS heeft de PCI Security Standards Council, die beveiligingsprotocollen voor de bankwereld maakt, aangegeven dat het de hsm-modules opnieuw gaat controleren.
Volgens Currence, de eigenaar van het pin-betalinggssysteem in Nederland, is het probleem al langer bekend. "Wij hoorden twee jaar geleden voor het eerst over deze zwakheden", zegt woordvoerder Bob Goulooze tegenover Tweakers.net. "Die hebben we toen meteen aangepast, waardoor deze zwakheden in Nederland niet meer misbruikt kunnen worden."
 18:56 |
Sun brengt Nehalem EP-serverlijn uit |
 17:08 |
'Dell-smartphone debuteert nog dit jaar in China' |
Door 
![[show]](http://tweakimg.net/g/if/comments/button_down.png "Reactie uitklappen")
