Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 15 reacties

De hackers die inbraken bij de Amerikaanse winkelketen Target, zouden niet alleen creditcardnummers hebben buitgemaakt, maar ook versleutelde pincodes. Dat melden bronnen van Reuters. Een Amerikaanse bank zou vrezen dat de encryptie ongedaan kan worden gemaakt.

TargetReuters claimt dat het van anonieme bronnen heeft vernomen dat er versleutelde pincodes bij de aanval zouden zijn buitgemaakt. Vorige week werd bekend dat hackers zouden hebben ingebroken op kassasystemen van de winkelketen, de op twee na grootste in de Verenigde Staten. Daarbij zouden mogelijk gegevens van 40 miljoen creditcards zijn buitgemaakt.

Target heeft in een reactie aangegeven dat 'geen onversleutelde pingegevens zijn buitgemaakt' en dat er geen aanwijzingen zijn dat er pingegevens zijn 'gecompromitteerd'. Het bedrijf erkent dat er versleutelde data zijn buitgemaakt, maar wil niet zeggen of het ook om pingegevens gaat.

In ieder geval één grote Amerikaanse bank zou vrezen dat de versleuteling ongedaan kan worden gemaakt. Amerikaanse banken hebben de afgelopen week maatregelen genomen om eventueel misbruik te voorkomen. Zo liet JPMorgan klanten tijdelijk maximaal 100 dollar per dag uit de muur halen, al werd die limiet later weer versoepeld. Daarnaast geven banken nieuwe kaarten uit.

Het is nog onduidelijk of de pincodes kunnen worden ontsleuteld door de aanvallers. Een beveiligingsonderzoeker zegt tegenover Reuters dat hij in opdracht van een grote winkelketen probeerde in te breken op diens kassasystemen, en er in slaagde om de sleutel waarmee de pincodes werden versleuteld te achterhalen. Daarnaast zouden onversleutelde codes kunnen zijn onderschept op het moment dat ze het interne geheugen passeren.

Ook is nog steeds onduidelijk hoe de aanvallers zijn binnengedrongen, en of ook winkelsystemen van andere winkeliers binnen en buiten de Verenigde Staten kwetsbaar zijn.

Moderatie-faq Wijzig weergave

Reacties (15)

waarom slaat een winkelketen eigenlijk pincodes op in de eerste plaats?
Afhankelijk van hoe de malware precies in het kassasysteem aanwezig is geweest gaat het denk ik niet zozeer om opslag van pincodes maar transport ervan. Dit komt ook deels terug in het nieuwsbericht:
Daarnaast zouden de onversleutelde codes kunnen worden onderschept op het moment dat ze het interne geheugen passeren.
Op deze manier kunnen ook versleutelde gegevens langs zijn gekomen en opgevangen door de malware. (want het artikel stelt immers niet dat er daadwerkelijk oversleutelde gegevens zijn buitgemaakt)

Ik weet zo de details niet uit mijn hoofd maar bij een PIN-transactie vindt er ergens wat sleuteluitwisseling her en der plaats die dan ook ergens te onderscheppen is. Zie bijvoorbeeld ook de details van het (oa. in Nederland gebruikte) EMV-protocol.
Cardholder verification
Offline plaintext PIN
Offline enciphered PIN
Offline plaintext PIN and signature
Offline enciphered PIN and signature
Online PIN
Bij online pin-verificatie zal communicatie met de bank plaatsvinden en die communicatie is wellicht af te luisteren. Offline pin-verificatie vindt echter plaats op de pas zelf maar volgens mij alleen bij pinpassen met een chip (de chip maakt het immers een smartcard terwijl de magneetstrip slechts dataopslag is).

Opslag van pinsleutels is ook niet iets dat de industrie aanraadt aan winkeliers.
Do Not Log PIN Blocks – Although PINs are protected in an encrypted or enciphered form within a transaction message, they must not be retained in transaction journals or logs subsequent to PIN transaction processing. Many processing environments have programs that actively overwrite or mask PIN blocks;
(Visa PIN Security | Tools and Best Practices for Merchants
http://usa.visa.com/downl...security-080507-final.pdf )

[Reactie gewijzigd door Eagle Creek op 25 december 2013 10:58]

Er staat nergens dat er opgeslagen data is gestolen. De hack zat in de kassa/pinterminal en wat er is afgetapt is de communicatie tussen pinterminal en bank of data die tijdens de transactie tijdelijk in het geheugen staat van de pinterminal.
waarom slaat een winkelketen eigenlijk pincodes op in de eerste plaats?
Misschien zodat mensen nog minder hoeven te onthouden? Om het allemaal nog simpeler te maken voor de persoon die betaald (Serieus antwoord)
Dat bevreemd me ook.

Tenzij ze met pincode de security code bedoelen.
Dat slaan ze op voor functionaliteit om makkelijker te kunnen betalen misschien, zoals iTunes dat heeft. Daar hoef je alleen je wachtwoord op te geven om de betaling met je credti card door te laten gaan.
Ik denk dat ze die code dan zelf wel degelijk hebben staan.

Maar zeker weten doe ik het niet.
Gegevens staan al te koop. Leuk stukje om te lezen:
http://krebsonsecurity.co...credit-cards-from-target/

The US Secret Service is bezig met een onderzoek. Kan niet lang duren of de daders worden gepakt als ze de gegevens al aangeboden hebben op forums en zal er meer bekend komen over de hack zelf.

"JP Morgan Chase, Santander Bank, and Citibank have capped debit card purchases and ATM withdrawals for customers whose accounts may have been compromised."

Banken hebben ook al maatregelingen getroffen.

"The PINs were encrypted, but there is no guarantee that the hackers won't decrypt them."

Ben benieuwd welke encryption er gebruikt is. Ook zijn er nu 24 mensen die Target hebben aangeklaagd voor het niet veilig stellen van hun gegevens.

"Ook is nog steeds onduidelijk hoe de aanvallers zijn binnengedrongen"

Op meerdere websites wordt er gesproken over malware op de terminals:
"Malware on store point-of-sale systems was involved in the security breach."

Sources:
http://www.theverge.com/2...n-the-wake-of-target-hack
http://money.cnn.com/2013...rd-hack/index.html?iid=EL

[Reactie gewijzigd door Squ1zZy op 25 december 2013 10:52]

Wel bijzonder dat een winkelketen pincodes van creditcards opslaat. Weliswaar is het nodig om ze in te geven op de website bij betalingen, maar dan alleen om door te geven aan een bank. Het lijkt mij beveiligingstechnisch onjuist om dit op te slaan. En dan ook nog eens zo versleutelen dat het blijkbaar mogelijk is de sleutel te achterhalen... Daar zijn toch ook wel degelijk oplossingen voor.
Nog erger vindt ik dat blijkbaar banken dit gedrag niet verbieden op straffe van uitsluiting. Dan kunnen er nog steeds door middel van hacks pincodes worden buitgemaakt door het interne geheugen te monitoren, maar de damage zal dan vermoedelijk stukken kleiner zijn.
Pincoces versleutelen is denk ik niet zo heel sterke beveiliging, aangezien pincodes (meestal? altijd?) maar 4 tekens zijn. Dan heb je maar een beperkt aantal mogelijkheden en dus is een dictionary attack goed mogelijk. Ik weet niet of er hier een goede mogelijkheid tot het toepassen van een salt mogelijk is en daarnaast is het PIN systeem niet hl modern. Dus, persoonlijk vind ik het niet zo vreemd dat de banken daar bang voor zijn, al ben ik natuurlijk geen security expert.

VOor de bovenstaande schrijvers: jullie kunnen natuurlijk gelijk hebben, maar uit het verhaal blijkt niet he de PIN's zijn buitgemaakt, dus het is niet gezegd dat deze opgeslagen werden.
Er staat nergens dat die data opgeslagen was. Het gaat om data direct uit de pinterminal of uit de communicatie met de bank.
Lijkt me sterk dat als er pincodes zijn buitgemaakt ze dit niet direct doorgeven aan de banken.

Anders gaan er miljoenen claims komen als dit misbruikt wordt en dat risico willen ze ongetwijfeld niet lopen.
Dan is het natuurlijk nog een 2e of de pers cq de wereld dit ook te horen krijgt he.
Sja, dat risico loop je met een verouderd systeem, en als je het toestaat dat banktransacties in de kassa zelf plaatsvinden. In Nederland heeft het even geduurd, maar zijn we inmiddels wel wat verder: ten eerste kun je een kaart niet zo maar kopieren omdat die magneetstrip eindelijk is afgeschaft, en ten tweede gebeurt de echte transactie altijd in een los verzegeld pin-kastje die alleen via een API met het kassasysteem verbonden is. Het installeren van malware is zo een stuk lastiger.
Target heeft in een reactie aangegeven dat 'geen onversleutelde pingegevens zijn buitgemaakt'
Het bedrijf erkent dat er versleutelde data is buitgemaakt, maar wil niet zeggen of het ook om pingegevens gaat.
Wat is het nou? Is er aangegeven dat er gn pingegevens zijn buitgemaakt of wilt men niet zeggen f er pingegevens zijn buitgemaakt? Vrij onduidelijk opgeschreven hier terwijl het wel relevant is voor de ernst van de zaak...
Geen onversleutelde, wel versleutelde, waar men niet over wil zeggen of er ook versleutelde pingegevens bij zitten ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True