Pincode-beveiliging van Amerikaanse bank omzeild

In New York zijn drie mensen gearresteerd omdat zij met behulp van pincodes die zouden zijn gestolen van een Citibank-server honderdduizenden dollars via geldautomaten opgenomen hebben.

Pin-automaat De pincodes zouden afkomstig zijn uit een Citibank-server die het betalingsverkeer van geldautomaten afhandelt, en niet via bekende trucs als skimming of social engineering zijn verkregen. Daarmee zou het de eerste zaak in de VS zijn waarbij pincodes via vitale banksystemen in criminele handen zijn gekomen. Onduidelijk is echter of de server of de netwerkinfrastrucuur daadwerkelijk werd gekraakt, of dat de informatie via bijvoorbeeld een bankmedewerker naar buiten is gekomen.

Tegenover Wired ontkent Citibank dat zijn systemen ten prooi zouden zijn gevallen aan hackers, maar uit rechtbankgegevens blijkt dat bankmedewerkers de FBI in februari waarschuwden dat onbekenden toegang zouden hebben gekregen tot een server. Kort daarop werd de 32-jarige Yuriy Ryabinin uit Oekraïne opgepakt. Hij wordt beschuldigd van het veelvuldig illegaal opnemen van geld met behulp van gestolen informatie. De man, die actief zou zijn op diverse carding-fora in Oost Europa, wordt echter niet beschuldigd van het daadwerkelijk inbreken op de computers van Citibank. Ook een 30-jarige vriend en de vrouw van Ryabinin zouden in staat van beschuldiging zijn gesteld wegens het pinnen van enkele geldbedragen en het hinderen van het politieonderzoek.

Volgens de Amerikaanse justitie zou vorig najaar in twee dagen tijd vijf miljoen dollar zijn vergaard met wereldwijd negenduizend al dan niet gelukte transacties bij geldautomaten. Ryabinin zou volgens de aanklacht zelf honderdduizend dollar hebben gepind. Tijdens een inval in zijn woning trof de politie behalve een kaartlezer zevenhonderdduizend dollar in contanten aan. Ook bij zijn collega werd acht ton aan gestolen geld aangetroffen, terwijl zijn vrouw nog een ton in een bankkluis had verstopt.

Hoewel Citibank publiekelijk ontkent dat zijn systemen zijn gekraakt, heeft de bank in de periode dat de criminelen actief waren de daglimiet bij de geldautomaat voor een deel van zijn klanten gehalveerd. Dit zou de bank hebben gedaan omdat er in New York enkele 'geïsoleerde fraudegevallen' zouden zijn voorgevallen, zo liet het bedrijf aan een krant weten. Uit rechtbankverslagen blijkt echter dat Citibank de rekeningen bewust niet zou hebben geblokkeerd, mogelijk in de hoop zo de criminelen in de kraag te kunnen vatten en om de zwakke punten in hun systemen te kunnen vinden. Het is echter mogelijk dat de criminelen geen directe toegang hadden tot de centrale servers van Citibank, maar dat zij wel in staat waren om met 'slim' afluisterwerk langskomende pin-codes en rekeningnummers op het netwerk van de bank te onderscheppen, zo concludeert Wired.

IT-banen

Reacties (69)

Anoniem: 230385 19 juni 2008 18:21

Ik dacht dat de PIN code nooit ergens opgeslagen wordt omdat het met een rekensom idee werkte. De enige met de PIN code is de klant. Als CitiBank de PIN codes zelf opslaat op hun servers is er ergens iets goed mis. Denk niet dat de ING of Rabobank de PIN codes op een server heeft staan. Of heb ik het nu mis?

microsofty710 @Anoniem: 230385 • 20 juni 2008 15:03

Wat ik echt pas eng vind is dat je pincode als hash oid ook op je pas staat. Ga maar na, je randomreader of gelijksoortig apparaatje kan ook bepalen of je je pin verkeerd heb ingevoerd en evt blokkeren als je het 3 keer flikt. Die maakt echt niet contact met de bank en is niet specifiek voor jouw pasje.

Als je het algoritme weet is je pin snel uit te vogelen, 10.000 combinaties. Of op zijn minst is het aantal mogenlijkheden terug te brengen. (er zou bijv. op de pas alleen een checksum van de hash kunnen staan).

Jammer dat die chippies meteen hun inhoud verliezen als je zo een reader openmaakt.

- of gelukkig natuurlijk...

Janoz Moderator PRG/SEA @Anoniem: 230385 • 19 juni 2008 19:36

Dan nog is een pincode redelijk makkelijk te vinden aangezien er maar 10.000 mogelijkheden zijn. Alle pincodes en hun hashes zijn aan data niet veel groter dan een avatar van een gebruiker op het forum.

Anoniem: 230385 @Janoz • 19 juni 2008 19:46

Dat is als je PIN code uit 4 nummers bestaat, wat volgens mij niet bij elke bank het geval is. Mijn HSBC kaart in Maleisie heeft 6 nummers en hier in UK ligt het tussen de 4 en 8 nummers afhankelijk van je bank.

Darude1234 @Anoniem: 230385 • 19 juni 2008 20:30

Zie ook wikipedia:

De pin bestaat vaak uit vier cijfers, doordat de vrouw van de uitvinder, John Shepherd-Barron, maar vier cijfers kon onthouden.

Maghiel @Anoniem: 230385 • 20 juni 2008 02:04

in italie 5 cijfers

Anoniem: 126610 @Maghiel • 20 juni 2008 11:16

Italiaanse vrouwen zijn dan ook net iets slimmer ;-)

Anoniem: 112442 @Janoz • 20 juni 2008 00:04

Mis ik iets of is het systeem van de Citibank erg brak? Als namelijk de pincode van mijn bankpas hebt. Heb je in principe nog steeds niets. Want je mist een essentieel onderdeel en dat is de bankpas. Dit is Strong Authentication.

Heb je bij de Citibank al genoeg aan het rekeningnummer c.q. credit kaart informatie en de pin code en/of hadden beide grijp klaar op hun computer systemen zitten?

coretx @Janoz • 19 juni 2008 19:45

Dat is dus een kans van 3 op de 10.000

Na 3 mislukte pogingen word het rekeningnummer geblokkeerd.

mae-t.net @coretx • 19 juni 2008 20:16

Nee, dat is alleen als je die pogingen doet door de code ergens in te voeren. Als je de hash steelt kan je net zoveel en net zolang proberen als je zelf wilt, en dan gaat bruteforcen opeens heel erg snel, of de PIN-code nu uit 4, 6 of 8 cijfers bestaat.

Darude1234 @coretx • 19 juni 2008 20:25

De pinpas wordt geblokkeerd, het zou niet best zijn als de rekening geblokkeerd zou worden

ASVD8 @coretx • 20 juni 2008 09:22

je rekeningnummer niet, maar je pasje.. alle contante transacties, overboekingen en incasso's gaan gwoon doro!

darkfader @coretx • 20 juni 2008 09:44

Pasje. Maar geld dat ook als je een 2e pasje hebt aangevraagd?

Ik vraag me trouwens af of die pincode server(s) niet gewoon PCs zijn met een database. Als je direct bij die database kan komen, wordt er niets geblokkeerd. Beter om een stuk encryptie-hardware tussen de harddisks te zetten die maar 3 pogingen toelaat.

sjhgvr 19 juni 2008 20:28

Je doet je ABN-AMRO pas in je e.dentifier.
Er word om je pincode gevraagd.
Toets je deze juist in, word je gevraagd om de "challenge-code" in te geven.
Toets je deze onjuist in, krijg je Error te zien.

Dus met wat e.dentifier hacks kun je de pincode van een gevonden bankpas te weten komen.

Anoniem: 265307 @sjhgvr • 19 juni 2008 20:33

Nee dat is jammergenoeg niet het geval, de E-dentifier controleert de pincode niet, dat doet de chip op je kaart. De E-Dentifier krijgt alleen het antwoord Ja of Nee.. de chip houdt bij hoeveel foutieve pogingen er waren.
Als er teveel foutieve pogingen zijn (3 stuks), maakt de chip het pingedeelte onbruikbaar.

een aanpassing op je cardreader zet dus geen zoden aan de dijk, je zal de chip moeten "hacken" en dat.. is op een bankpas nog niemand gelukt.

sjhgvr @Anoniem: 265307 • 19 juni 2008 20:37

Bankpassen zijn te copieren, dus 10000 / 3 (als je t 3 keer pag proberen per kaart) zou je maximaal 3334 copien hoeven te maken, om dus de pincode te achterhalen.

Edit .. 1 herprogrammeerbare kaart is dan al genoeg

[Reactie gewijzigd door sjhgvr op 23 juli 2024 11:21]

[TazZ] @sjhgvr • 20 juni 2008 00:48

De reden dat zo'n kaart een smartcard heet is, omdat de chip een volledige microcontroller + toebehoren is.

Deze microcontroller wordt eenmalig geflasht en is daarna niet meer aan te passen.

Alle toegang tot eventueel code-geheugen wordt verwijderd (lees: weggebrand) en via de juiste programmacode wordt ook voorkomen dat elke eventuele andere data in de chip toegankelijk is.

De chip krijgt dus als data een pincode en spuugt als data een ja of nee terug.

Vergelijk het met een apparaat. Je kunt wel bij het bedieningspaneel, maar niet bij de inhoud. Je kunt dus het bedieningspaneel namaken, maar zonder iets van apparatuur doet een stel knoppen niet veel.

bl0m5t3r @[TazZ] • 20 juni 2008 01:36

als hij niet meer is aan te passen, hoe kan ik dan mijn pincode wijzigen? dit kan ik gewoon wijzigen zonder van pas te wisselen.

dan zal er toch iets veranderd moeten worden op de chip, als daar mijn pincode uberhaupt al op staat. voor chippen heb je namelijk helemaal geen pin nodig. Alleen voor het opladen, dit is dan ook een pin transactie die je doet. alleen ontvang je het saldo op je chip ipv. cash.

bij mijn weten kan iedereen dat geld ook van mijn chip aftrekken zonder verificatie of server transactie. het is echt een digitale portemonnee. ik kan me ook niet voorstellen dat daar op een of andere manier mijn pincode in zit.

hoe de randomreader/e.dentifier precies werkt weet ik niet, hoe die mijn pincode zonder connectie zou moeten verifieren weet ik ook niet. maar als de pincode die je voor sterke encryptie niet op je bankpas wel hebben er wel op staat zou ik als vreemd ervaren.

verder voor een pinautomaat wordt een challenge response gebruikt zoals al eerder hierboven is beschreven.

luteijn @bl0m5t3r • 20 juni 2008 05:49

Wat een geneuzel allemaal hier zeg. Staat er niet gewoon in wikipedia hoe dit werkt?

De Chip is niet te kopieren met zooi die je voor een paar tientjes bij conrad ofzo besteld, dus daar durven ze veel meer aan toe te vertrouwen. Zo kan hij lokaal transacties afhandelen.

Dat is precies waarom de banken hem pushten, scheelt weer centen in verbindingskosten, en als je hem kwijt raakt/stuk laat gaan is het geld wat je erop had gezet pleite (i.e. pure winst voor de bank)

De meeste magneetstripinformatie kan net zo goed gewoon in schrijfmachineschrift staan, zoals op je paspoort (en een hoop staat ook al leesbaar op je pas); maar dat was jaren geleden nog niet zo makkelijk voor machines om te lezen. En op een magneetstrip zou je evt een offset op je echte pincode kunnen bewaren en makkelijk herschrijven als de gebruiker zijn code aanpast.

Sanch @luteijn • 20 juni 2008 10:51

Hoe kan het geld dat je kwijt raakt "pure winst voor de bank" zijn? Aangezien de bank het geld toch al kwijt is.... Daarnaast worden de verbindingskosten niet door de bank betaald maar door diegene die het pinautomaat heeft

luteijn @Sanch • 20 juni 2008 16:43

Op je chip staan een soort 'tegoedbonnen' die je bij een betaling aan de winkelier overdraagt. Je koopt die tegoedbonnen bij de bank met je banksaldo als je je chip oplaadt. Het geld gaat dan dus van jouw rekenign af, maar de bank heeft het nog gewoon, in een ander laatje. Als de bonnen nooit meer ingeleverd worden, is dat geld dat je de bank betaalt hebt dus voor de bank. Nog wel een klein probleempje is dat ze bij de bank nooit zeker weten of die bonnen nog ooit eens ingeleverd gaan worden, maar daar zullen ze de statistiek wel op los laten en de kas (reserveringen) van het tegoedbonnen-winkeltje af en toe afromen. Zowieso hoeven ze je geen rente erop te betalen en kunnen ze het geld voor zich laten werken.

Geen verbindingskosten voor de winkelier betekent dat misschien meer winkeliers het systeem willen voeren; Handig voor verkoopmachines waar per transactie geen grote hoeveelheden geld omgaan en de verbindingskosten dus significant zijn tov het gehele bedrag. Als het echt aanslaat (quod non, vzv ik weet), hoeft de bank ook minder capaciteit te hebben om inkomende verbindingen van het PIN verkeer af te handelen.

Ik gebruik geen chipknip, PIN gewoon lekker alles. O nee, wacht, ik heb een pasje van het bedrijfs restaurant; das een (Magneet-)stripknip. Altijd lachen als de boterham-automaat je eerst je boterham laat pakken en dan pas probeert het bedrag letterlijk af te schrijven met een verkeerd afgestelde schrijfkop, en je bij verbaasd kantinepersoneel komt vragen om die 2 Euro 25 alsnog af te schrijven en of ze iemand die automaat opnieuw kunnen laten afstellen. "Dat kan toch helemaal niet? We hebben geen andere meldingen gehad hoor..."

P.

Anoniem: 265307 @sjhgvr • 19 juni 2008 20:50

Een magneetstrip is te kopieren.. een Chip op de bankpas nog steeds niet..

Anoniem: 252470 19 juni 2008 19:27

lijkt me dus de ideale manier van beveiliging:
- pincode intoetsen
- zware encrytie door automaat
- naar server sturen
- vergelijken met andere enkrypte code
- server stuurt terug naar automaat: Goed of Fout

heb ik nou en punt of zit ik mis?

Janoz Moderator PRG/SEA @Anoniem: 252470 • 19 juni 2008 19:42

Pincode zit NIET op de magneetstrip en kan dus niet op het apparaat zelf gecontroleerd worden (met de chipknip is dat iets anders).

Het is helemaal niet nodig om de pincode naar de server te sturen. Het is waarschijnlijk eerder een soort chalange response systeem. Daarbij is het versturen niet. Het is dus meer zoiets:

-pincode intoetsen
-zware encryptie over verbinding
-server vraagt "doe eens deze berekening met de pincode en je eigen geheime code die we niet communiceren maar wel beiden weten"
-pinautomaat zegt "Nou, dan komt er 4234789 uit"
-server zegt "ok, dat klopt met wat ik hier meereken"

High-Voltage2 @Anoniem: 252470 • 19 juni 2008 19:30

Je pincode zit in je bankkaart en kan dus ad hoc geverifieerd worden normaal. Dus ik zie niet helemaal in waarom de pincode ook nog eens naar de server gestuurd moet worden. Verder ging ik er van uit dat zulke verbinding encrypted waren.

Tenzij de suggestie van het artikel fout is en dat er in plaats van onderschepping wel degelijk een hack is gebeurd.

AvK @Anoniem: 252470 • 19 juni 2008 19:45

Er wordt in Nederland geen pin-informatie verstuurd naar een centrale server. Je code wordt lokaal gecontroleerd (dus op de apparatuur in de winkel). De bank controleert je saldo. Beetje een vreemd nieuwsbericht dit.

lasharor 19 juni 2008 18:06

Logisch van de bank dat ze ontkennen, het lijkt me nou niet echt een plus punt als een bank meld dat zijn systemen zijn gekraakt...

SKiLLa @lasharor • 19 juni 2008 18:28

Ontkennen is standaard policy. Natuurlijk kunnen & willen ze het niet melden, want dan komt er een opname-rush en gaat de bank failliet (en dat is in niemand belang). Na afloop - zoals nu - duurt eerlijkheid toch echt het langst. Het blijven ontkennen - terwijl het toch redelijk waarschijnlijk is dat ze gewoon gehackt zijn - schaadt het imago veel meer dan eerlijk toegeven dat het fout is gegaan en beterschap beloven.

Hopelijk is dit een eye-opener voor de financiele industrie, zoveel instellingen (tussen handel, verzekeraars, banken) hebben anno 2008 nog steeds een belabberde beveiliging, hoe hard ze dat en public ook ontkennen ...

graey @SKiLLa • 19 juni 2008 20:44

offtopic:
en publique

Lijkt me behoorlijk lastig om de juiste tijd dan te kiezen. Maar ik snap niet dat die pincodes niet degelijk gecodeerd zijn. Dan zijn ze toch helemaal niet te gebruiken, zelfs al jat je ze?

Het.Draakje @Rob Coops • 20 juni 2008 09:41

Ik neem aan dat je inside information hebt, waardoor je weet dat banken niets van innovatie moeten hebben ?

Mijn inside informatie zegt namelijk iets heel anders. Zeker op het gebied van beveiling worden de wetenschappelijke vorderingen nauwgezet in de gaten gehouden, want we hebben het wel over (heel veel) geld.

marapuru @lasharor • 19 juni 2008 18:19

Is het niet juist veel beter als een bank het wel naar buiten brengt? Mensen houden dan zelf hun afschriften e.d. beter in de gaten. Waardoor er veel meer ontdekt wordt... toch!?

AvK 19 juni 2008 20:07

Nou, vooruit nog even dan:

Pincode wordt lokaal gecontroleerd. Hoe wil je anders bij de C1000 van te voren al je pasje door de gleuf halen en je pin ingetoetst en gecontroleerd hebben? En dat allemaal voordat de lieftallige kassiere de totaal som heeft berekend?

Dat het bij de chipknip anders zou zijn klopt ook niet, chipknip is na de pinpas gekomen en men heeft alleen de lees-kop aangepast / bijgeplaatst. Wordt dus ook nog steeds lokaal gecontroleerd.

Als digitaal afluisteren zo makkelijk was bleven de boeven wel thuis, maar wat doen ze? Ze plaatsen skimapparatuur en camera's bij pinautomaten. Ze breken in bij tuincentra om geheugenchips en camera's te plaatsen.

Nogmaals: Het nieuws bericht is een beetje vreemd.

Anoniem: 265307 @AvK • 19 juni 2008 20:12

Het is heus niet waar.. je pincode wordt NIET lokaal gecontroleerd.. alleen een chip op je kaart bij een chiptransactie kan controleren of een pin ja of nee akkoord is.

Bij een automaat bij de C1000. AH of Edah, wordt het transactie bericht inclusief je encrypted pin pas verzonden op het moment dat je op OK hebt gedrukt voor het bedrag... door de voortschrijdende technologie (adsl bijv vroeger moesten ze inbellen) komt het antwoord dan ook erg rap.

Als je pincode lokaal gecontroleerd zou worden zou de supermarkt de sleutel moeten weten.. en dat is in het kader van fraude niet handig. maw dan is je pincode niks meer waard.

Overigens kan ik de inhoud van een magneetstrip van een bankpas bijna hier letterlijk uit mijn hoofd op typen.. maar dat geheel terzijde..

CyBeR @Anoniem: 265307 • 19 juni 2008 22:08

Als je pincode lokaal gecontroleerd zou worden zou de supermarkt de sleutel moeten weten.. en dat is in het kader van fraude niet handig. maw dan is je pincode niks meer waard.

Tuurlijk wel. Je pincode is de sleutel die je moet weten. En het pinapparaat weet die sleutel: je hebt 'm tenslotte zelf in staan toetsen!

Overigens kan ik de inhoud van een magneetstrip van een bankpas bijna hier letterlijk uit mijn hoofd op typen.. maar dat geheel terzijde..

Komtumaar.

Anoniem: 265307 @CyBeR • 19 juni 2008 22:15

De pincode staat versleuteld op de kaart, een magneetstrip is enorm simpel uit te lezen, het is bijna een stukje cassetteband en is daarom ook gelijk zwaar verouderd.

Als de supermarkt de sleutel zou weten tot het decrypten van je pin, dan zou theoretisch gezien je oneindig kunnen proberen de pin van een gejatte kaart te kunnen raden.

Je chip daarentegen kan de pin wel valideren. en ook blokkeren als je teveel foute pogingen hebt gedaan.

-> magneetstrip: tja.. hoe makkelijk hij ook is uit te lezen.. mijn baas zou het niet fijn vinden.. :-)

GravGunner @Anoniem: 265307 • 20 juni 2008 09:30

edit:
nvm, uitleg staat hieronder al

[Reactie gewijzigd door GravGunner op 23 juli 2024 11:21]

ASVD8 @AvK • 20 juni 2008 09:26

Bij het van te voren door de gleuf halen van je pas, wordt de verificatie pas gedaan zodra je op ''OK'' of ''GOED'' ofzo hebt gedrukt hor.. je krijgt dan evt pas de melding '' u heeft betaald'' of '' onvoldoende saldo, betaal anders'' etc...

Bij je chip is het wel degelijk anders, omdat je de verificatie al bij de apparatuur bij de bank hebt gehad.... Chippen zelf is gewoon los geld op een stukje plastic... geen verificatie ofzo...ABN en Rabo internetbankieren is wat anders, die pakken wel andere en gesloten info van de chip

Anoniem: 58485 19 juni 2008 18:09

@Lasharor dus:En de chaos van de klanten zelf die zich zorgen maken over hun account.

AvK 19 juni 2008 18:28

In Nederland zit de pincode 'vast' aan je kaart. Die code wordt niet verzonden en dan centraal gecontroleerd. De locale pin-apparatuur controleert of de ingetoetste code klopt met de code die op de magneetstrip staat.

dennis112 @AvK • 19 juni 2008 18:31

Dus als die op de magneetstrip staat dan moet die ook makkelijk met een kaartlezer uit te lezen zijn. Ik denk niet dat het zo gemakkelijk gaat, anders zou dit veel meer gebeuren.

Stephan224 @dennis112 • 19 juni 2008 18:46

Hahahah, lijkt me ook niet echt aannemelijk maar miss dat AvK gelijk heeft hoor.

...maar uit rechtbankgegevens blijkt dat bankmedewerkers de FBI in februari waarschuwden dat onbekenden toegang zouden hebben gekregen tot een server...

Prachtige zin. Met andere woorden de FBI probeert steeds hun servers te kraken. (zal wel in opdracht zijn denk ik

)

Anoniem: 201824 @Stephan224 • 19 juni 2008 20:09

Interessanter is dat de FBI dit weet, en heel gek dat die criminelen niet door de bank zelf zijn 'gezien'. Een bank is toch niet afhankelijk van een overheidsinstelling? Kan me voorstellen dat de FBI bepaalde kwaliteiten in huis heeft om zoiets te onderscheppen, maar het is niet minder logisch als die bank dat zelf ook zou kunnen...

iceheart @Anoniem: 201824 • 20 juni 2008 01:17

zie het anders. stel, er vindt nogal wat fraude plaats. dit wordt vaak door georganiseerde bendes gedaan. FBI stelt een onderzoek in // infiltreert, en ontdekt een dergelijk geval. dan wordt dit uiteraard gelijk doorgespeeld... lijkt mij slechts een zeer nette gang van zaken bij een dergelijk opsporingsinstituut.

hlvnst @AvK • 19 juni 2008 18:50

Volgens mij heeft in Nederland de bank gewoon een hash van je pincode op een server staan.

Je stopt je pas in de automaat, automaat downloadt de rekeninginfo (pincode hash, maximaal op te nemen bedrag, dat soort dingen) die bij de pas hoort terwijl je je pincode intoetst. Automaat hasht je pincode en vergelijkt die met wat ie van de server heeft gedownload.

Zo werkt zo'n beetje elk systeem dat passwords gebruikt. Waarom zou dat bij pinpassen dan anders zijn?

Anoniem: 196208 @hlvnst • 19 juni 2008 18:55

Nouja, een hash is natuurlijk redelijk zinloos aangezien je slechts 10000 verschillende mogelijkheden hebt. Je hasht als hacker gewoon de getallen 0000 t/m 9999 en dan heb je ze al allemaal te pakken. Dat is natuurlijk een rainbowtable van helemaal niks;)

hlvnst @Anoniem: 196208 • 19 juni 2008 21:57

Verrek, daar had ik even niet aan gedacht, maar je hebt helemaal gelijk.

Wellicht een hash dan van de combinatie pincode + rekeningnummer + pasnummer?

Marcks @hlvnst • 20 juni 2008 00:12

Dat zou het nagenoeg onmogelijk maken om alle combinaties van pincodes en hashes in één universele tabel te zetten, maar een aanvaller hoeft nog altijd slechts tienduizend getallen te proberen, gezien rekeningnummer en pasnummer bekend zijn.

NetForce1 @hlvnst • 19 juni 2008 18:56

Er staat in ieder geval een code op je pinpas, of dat nou de pin is of een hash ervan weet ik niet, maar dat er iets op staat is zeker. Rabobank-klanten kunnen het makkelijk uitproberen door op de random reader een verkeerde pin in te toetsen. Dan krijg je nl een prachtige melding.

Anoniem: 265486 @NetForce1 • 19 juni 2008 19:08

"Foutieve PIN"
Nou, prachtig hoor

edit: Die chip zit er natuurlijk niet op voor de sier:

"As Digipass Pro 800 is platform
independent and needs no personalisation prior to
delivery to the customer, every reader is identical."
[documentatie van Vasco]

Rabobank gebruikt de DigiPass 810, wat een gerestylede versie van de DP800 is

[Reactie gewijzigd door Anoniem: 265486 op 23 juli 2024 11:21]

AvK @NetForce1 • 19 juni 2008 19:08

Als het digitaal kraken van je pincode zo makkelijk was had men het skimmen niet uit gevonden. Voor skimmen moet je de deur uit. Dat vinden boeven lastig....

Je pincode staat op de een of andere manier op je kaart. Er zijn inderdaad maar 9999 combinaties mogelijk. De pinapparatuur controleert je code. De bank controleert je saldo. Daarom krijg je ook altijd eerst de melding 'foute pincode' en daarna pas 'ontoereikend saldo'.

Anoniem: 201824 @AvK • 19 juni 2008 20:12

De kaart is ook verbonden aan je rekeningnr. je pasnr., een verloopdatum etc. Kan je ook nog een sleutel van maken die unieker is dan je pincode alleen.

Voutloos @AvK • 20 juni 2008 07:57

Daarom krijg je ook altijd eerst de melding 'foute pincode' en daarna pas 'ontoereikend saldo'.
Je denkt nu in termen van toevallig deze implementatie, maar er zit ook gewoon een goede reden qua authenticatie achter: met een foute pin heb je nog niet bewezen dat jij het saldo mag horen.

AcidBanger @AvK • 20 juni 2008 13:22

er zijn 10.000 combinaties

0000 is er ook 1

dat is meestal degene die mensen vergeten bij het uitrekenen.

coretx @NetForce1 • 19 juni 2008 19:43

3DES

Rinzwind @NetForce1 • 20 juni 2008 11:28

En daarom is/lijkt het technisch mogelijk om van iedere weggehaalde pin pas via hetzelfde systeem de pincode te achterhalen.

ChillinR

@hlvnst • 20 juni 2008 00:47

_{Nevermind, niet goed gelezen, zag net dat het verhaal over de Rabobank random reader al door NetForce1 geplaatst is}

[Reactie gewijzigd door ChillinR op 23 juli 2024 11:21]

Anoniem: 263227 19 juni 2008 19:07

Ik zou wel willen weten hoe ze dat hebben weten te kraken. Ik bedoel, ik mag wel verwachten dat ze de pincode die op de server stond zodanig hebben beveiligd dat niemand er bij kan

Je moet dus wel erg goed zijn wil je de server kraken en de pincode stelen, lijkt me of zie ik het verkeerd?

Anoniem: 201824 @Anoniem: 263227 • 19 juni 2008 20:14

Zal wel een (ex) medewerker geweest zijn, want anders was zo'n server wel eerder tot dusver gehackt dat ze ook pincodes weten te bemachtigen. Althans, het moet iemand met kennis van zo'n netwerk zijn geweest. Denk dat banken ook honeypots gebruiken? Daar wil je niet instinken als hacker... en wie kan dat nu beter omzeilen...

Anoniem: 231832 19 juni 2008 19:34

Het pin systeem is er in amerika al heel erg lang. Banken hebben er een hekel aan om systemen te vernieuwen en draaien het liefst 20 of 30 jaar lang met hetzelfde systeem door. Waarschijnlijk vindt er dus ook weinig vernieuwing plaats op het gebied van beveiliging.

9/11 gaf wel aan hoe goed alles in de V.S. beveiligd is. Not. De gemiddelde Hollywood schrijver heeft betere ideeen over beveiliging dan het pentagon lijkt het wel

De indruk werd altijd gewekt alsof zoiets onmogelijk is maar tegelijkertijd is beveiliging gewoon de sluitpost

Geen wonder dus, dat dit soort dingen af en toe gebeurt.

Maghiel @Anoniem: 231832 • 20 juni 2008 02:10

Je vergeet hierbij wel dat het goed mogelijk is dat boel in opdracht van hogeraf is opgeblazen. Je krijgt macht door een angst te creeeren.

Anoniem: 265307 19 juni 2008 20:00

In nederland staat op je magneetstrip de pinblock (een ge-encrypte versie van je pin), niet je complete pin (uiteraard).
Leesbare pins worden nergens bijgehouden, zelfs als je root acces heb tot de systemen kan je NOOIT achter de pin van een klant komen.

De apparaten die pins berekenen en goedkeuring of afkeuring regelen (Host security Modules).. komen alleen in autorized state (beheermodus) door 2 stafleden die met hun securitycard en fysieke sleutel naar de box komen om hem te unlocken om er onderhoudt op te plegen.

Eventueel te verzenden berichten worden altijd versleuteld met meerdere sleutels waarvan elke partij in een transactie een deel heeft, Bank <> Gelduitgever <> Kaart.

Op dit item kan niet meer gereageerd worden.

Pincode-beveiliging van Amerikaanse bank omzeild

Lees meer

IT-banen

Reacties (69)

Sorteer op:

Weergave: