'Hackers Amerikaanse winkelketen stalen versleutelde pincodes'

De hackers die inbraken bij de Amerikaanse winkelketen Target, zouden niet alleen creditcardnummers hebben buitgemaakt, maar ook versleutelde pincodes. Dat melden bronnen van Reuters. Een Amerikaanse bank zou vrezen dat de encryptie ongedaan kan worden gemaakt.

TargetReuters claimt dat het van anonieme bronnen heeft vernomen dat er versleutelde pincodes bij de aanval zouden zijn buitgemaakt. Vorige week werd bekend dat hackers zouden hebben ingebroken op kassasystemen van de winkelketen, de op twee na grootste in de Verenigde Staten. Daarbij zouden mogelijk gegevens van 40 miljoen creditcards zijn buitgemaakt.

Target heeft in een reactie aangegeven dat 'geen onversleutelde pingegevens zijn buitgemaakt' en dat er geen aanwijzingen zijn dat er pingegevens zijn 'gecompromitteerd'. Het bedrijf erkent dat er versleutelde data zijn buitgemaakt, maar wil niet zeggen of het ook om pingegevens gaat.

In ieder geval één grote Amerikaanse bank zou vrezen dat de versleuteling ongedaan kan worden gemaakt. Amerikaanse banken hebben de afgelopen week maatregelen genomen om eventueel misbruik te voorkomen. Zo liet JPMorgan klanten tijdelijk maximaal 100 dollar per dag uit de muur halen, al werd die limiet later weer versoepeld. Daarnaast geven banken nieuwe kaarten uit.

Het is nog onduidelijk of de pincodes kunnen worden ontsleuteld door de aanvallers. Een beveiligingsonderzoeker zegt tegenover Reuters dat hij in opdracht van een grote winkelketen probeerde in te breken op diens kassasystemen, en er in slaagde om de sleutel waarmee de pincodes werden versleuteld te achterhalen. Daarnaast zouden onversleutelde codes kunnen zijn onderschept op het moment dat ze het interne geheugen passeren.

Ook is nog steeds onduidelijk hoe de aanvallers zijn binnengedrongen, en of ook winkelsystemen van andere winkeliers binnen en buiten de Verenigde Staten kwetsbaar zijn.

Door Joost Schellevis

Redacteur

Feedback • 25-12-2013 10:35 15

25-12-2013 • 10:35

15

Lees meer

Onderzoekers herleiden eigenaren creditcard op basis van ruwe metadata
Onderzoekers herleiden eigenaren creditcard op basis van ruwe metadata Nieuws van 30 januari 2015
Amerikaanse banken gaan sneller met elkaar communiceren bij cyberdreiging
Amerikaanse banken gaan sneller met elkaar communiceren bij cyberdreiging Nieuws van 4 november 2014
Amerikaanse geheime dienst arresteert criminele hacker van kassasystemen
Amerikaanse geheime dienst arresteert criminele hacker van kassasystemen Nieuws van 8 juli 2014
Nederland mag Russische verdachte van grootschalige hacks uitleveren
Nederland mag Russische verdachte van grootschalige hacks uitleveren Nieuws van 18 april 2014
RSA ontdekt ChewBacca-trojan voor stelen van creditcarddata
RSA ontdekt ChewBacca-trojan voor stelen van creditcarddata Nieuws van 31 januari 2014
Amerikaanse winkelketen is slachtoffer van creditcardroof
Amerikaanse winkelketen is slachtoffer van creditcardroof Nieuws van 26 januari 2014
'Meer Amerikaanse winkelketens zijn slachtoffer hackaanvallen'
'Meer Amerikaanse winkelketens zijn slachtoffer hackaanvallen' Nieuws van 12 januari 2014
Hackers maakten ook 70 miljoen klantgegevens buit bij winkelketen Target
Hackers maakten ook 70 miljoen klantgegevens buit bij winkelketen Target Nieuws van 10 januari 2014
Onderzoekers: aanvallers stalen met malware cash uit geldautomaten
Onderzoekers: aanvallers stalen met malware cash uit geldautomaten Nieuws van 27 december 2013
'Aanvallers kraakten kassa's Amerikaanse winkelketen'
'Aanvallers kraakten kassa's Amerikaanse winkelketen' Nieuws van 19 december 2013
Criminelen maken 11 miljoen dollar buit bij pinautomaten
Criminelen maken 11 miljoen dollar buit bij pinautomaten Nieuws van 7 februari 2013
'Pinapparaat te hacken via nep-pinpas'
'Pinapparaat te hacken via nep-pinpas' Nieuws van 26 juli 2012
Meer producten en artikelen
Privacy Netwerk en systeembeheer

Reacties (15)

-Moderatie-faq
15
14
13
4
1
0
Wijzig sortering
xTmPizzaMan 25 december 2013 10:40
waarom slaat een winkelketen eigenlijk pincodes op in de eerste plaats?
Eagle Creek @xTmPizzaMan25 december 2013 10:46
Afhankelijk van hoe de malware precies in het kassasysteem aanwezig is geweest gaat het denk ik niet zozeer om opslag van pincodes maar transport ervan. Dit komt ook deels terug in het nieuwsbericht:
Daarnaast zouden de onversleutelde codes kunnen worden onderschept op het moment dat ze het interne geheugen passeren.
Op deze manier kunnen ook versleutelde gegevens langs zijn gekomen en opgevangen door de malware. (want het artikel stelt immers niet dat er daadwerkelijk oversleutelde gegevens zijn buitgemaakt)

Ik weet zo de details niet uit mijn hoofd maar bij een PIN-transactie vindt er ergens wat sleuteluitwisseling her en der plaats die dan ook ergens te onderscheppen is. Zie bijvoorbeeld ook de details van het (oa. in Nederland gebruikte) EMV-protocol.
Cardholder verification
Offline plaintext PIN
Offline enciphered PIN
Offline plaintext PIN and signature
Offline enciphered PIN and signature
Online PIN
Bij online pin-verificatie zal communicatie met de bank plaatsvinden en die communicatie is wellicht af te luisteren. Offline pin-verificatie vindt echter plaats op de pas zelf maar volgens mij alleen bij pinpassen met een chip (de chip maakt het immers een smartcard terwijl de magneetstrip slechts dataopslag is).

Opslag van pinsleutels is ook niet iets dat de industrie aanraadt aan winkeliers.
Do Not Log PIN Blocks – Although PINs are protected in an encrypted or enciphered form within a transaction message, they must not be retained in transaction journals or logs subsequent to PIN transaction processing. Many processing environments have programs that actively overwrite or mask PIN blocks;
(Visa PIN Security | Tools and Best Practices for Merchants
http://usa.visa.com/downl...security-080507-final.pdf )

[Reactie gewijzigd door Eagle Creek op 22 juli 2024 17:01]

croxz @xTmPizzaMan25 december 2013 10:58
Er staat nergens dat er opgeslagen data is gestolen. De hack zat in de kassa/pinterminal en wat er is afgetapt is de communicatie tussen pinterminal en bank of data die tijdens de transactie tijdelijk in het geheugen staat van de pinterminal.
jochem4207 @xTmPizzaMan25 december 2013 10:43
waarom slaat een winkelketen eigenlijk pincodes op in de eerste plaats?
Misschien zodat mensen nog minder hoeven te onthouden? Om het allemaal nog simpeler te maken voor de persoon die betaald (Serieus antwoord)
Lexis @xTmPizzaMan25 december 2013 10:47
Dat bevreemd me ook.

Tenzij ze met pincode de security code bedoelen.
Dat slaan ze op voor functionaliteit om makkelijker te kunnen betalen misschien, zoals iTunes dat heeft. Daar hoef je alleen je wachtwoord op te geven om de betaling met je credti card door te laten gaan.
Ik denk dat ze die code dan zelf wel degelijk hebben staan.

Maar zeker weten doe ik het niet.
Squ1zZy 25 december 2013 10:42
Gegevens staan al te koop. Leuk stukje om te lezen:
http://krebsonsecurity.co...credit-cards-from-target/

The US Secret Service is bezig met een onderzoek. Kan niet lang duren of de daders worden gepakt als ze de gegevens al aangeboden hebben op forums en zal er meer bekend komen over de hack zelf.

"JP Morgan Chase, Santander Bank, and Citibank have capped debit card purchases and ATM withdrawals for customers whose accounts may have been compromised."

Banken hebben ook al maatregelingen getroffen.

"The PINs were encrypted, but there is no guarantee that the hackers won't decrypt them."

Ben benieuwd welke encryption er gebruikt is. Ook zijn er nu 24 mensen die Target hebben aangeklaagd voor het niet veilig stellen van hun gegevens.

"Ook is nog steeds onduidelijk hoe de aanvallers zijn binnengedrongen"

Op meerdere websites wordt er gesproken over malware op de terminals:
"Malware on store point-of-sale systems was involved in the security breach."

Sources:
http://www.theverge.com/2...n-the-wake-of-target-hack
http://money.cnn.com/2013...rd-hack/index.html?iid=EL

[Reactie gewijzigd door Squ1zZy op 22 juli 2024 17:01]

Quasem 25 december 2013 10:44
Wel bijzonder dat een winkelketen pincodes van creditcards opslaat. Weliswaar is het nodig om ze in te geven op de website bij betalingen, maar dan alleen om door te geven aan een bank. Het lijkt mij beveiligingstechnisch onjuist om dit op te slaan. En dan ook nog eens zo versleutelen dat het blijkbaar mogelijk is de sleutel te achterhalen... Daar zijn toch ook wel degelijk oplossingen voor.
Nog erger vindt ik dat blijkbaar banken dit gedrag niet verbieden op straffe van uitsluiting. Dan kunnen er nog steeds door middel van hacks pincodes worden buitgemaakt door het interne geheugen te monitoren, maar de damage zal dan vermoedelijk stukken kleiner zijn.
Martao @Quasem25 december 2013 10:59
Pincoces versleutelen is denk ik niet zo heel sterke beveiliging, aangezien pincodes (meestal? altijd?) maar 4 tekens zijn. Dan heb je maar een beperkt aantal mogelijkheden en dus is een dictionary attack goed mogelijk. Ik weet niet of er hier een goede mogelijkheid tot het toepassen van een salt mogelijk is en daarnaast is het PIN systeem niet héél modern. Dus, persoonlijk vind ik het niet zo vreemd dat de banken daar bang voor zijn, al ben ik natuurlijk geen security expert.

VOor de bovenstaande schrijvers: jullie kunnen natuurlijk gelijk hebben, maar uit het verhaal blijkt niet hóe de PIN's zijn buitgemaakt, dus het is niet gezegd dat deze opgeslagen werden.
croxz @Quasem25 december 2013 10:59
Er staat nergens dat die data opgeslagen was. Het gaat om data direct uit de pinterminal of uit de communicatie met de bank.
Anoniem: 434945 25 december 2013 10:39
Lijkt me sterk dat als er pincodes zijn buitgemaakt ze dit niet direct doorgeven aan de banken.

Anders gaan er miljoenen claims komen als dit misbruikt wordt en dat risico willen ze ongetwijfeld niet lopen.
thegve @Anoniem: 43494525 december 2013 11:39
Dan is het natuurlijk nog een 2e of de pers cq de wereld dit ook te horen krijgt he.
Moartn 25 december 2013 12:08
Sja, dat risico loop je met een verouderd systeem, en als je het toestaat dat banktransacties in de kassa zelf plaatsvinden. In Nederland heeft het even geduurd, maar zijn we inmiddels wel wat verder: ten eerste kun je een kaart niet zo maar kopieren omdat die magneetstrip eindelijk is afgeschaft, en ten tweede gebeurt de echte transactie altijd in een los verzegeld pin-kastje die alleen via een API met het kassasysteem verbonden is. Het installeren van malware is zo een stuk lastiger.
Anoniem: 351596 25 december 2013 10:45
Target heeft in een reactie aangegeven dat 'geen onversleutelde pingegevens zijn buitgemaakt'
Het bedrijf erkent dat er versleutelde data is buitgemaakt, maar wil niet zeggen of het ook om pingegevens gaat.
Wat is het nou? Is er aangegeven dat er géén pingegevens zijn buitgemaakt of wilt men niet zeggen óf er pingegevens zijn buitgemaakt? Vrij onduidelijk opgeschreven hier terwijl het wel relevant is voor de ernst van de zaak...
Woutske @Anoniem: 35159625 december 2013 10:56
Geen onversleutelde, wel versleutelde, waar men niet over wil zeggen of er ook versleutelde pingegevens bij zitten ;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq