Betalingssector onderzoekt PIN-kraak
Gepubliceerd: Vrijdag 26 februari 2010
Auteur: Jasper Bakker
De EMV-alliantie onderzoekt het kraken van beveiligingsprotocol EMV voor PIN-betalingen. Dit gebeurt nadat Britse onderzoekers hun kraak in december al hebben gemeld.
De organisatie die de EMV-beveiliging voor PIN-betalingen heeft opgezet, neemt de kraakmethode onder de loep die wetenschappers van de Cambridge-universiteit hebben onthuld. Die onthulling is eerder deze maand gedaan nadat de onderzoekers begin december vorig jaar al de banken en bankautoriteiten op de hoogte hebben gebracht.
Banken gewaarschuwd
"We hebben toen de Europese Centrale Bank geïnformeerd en die heeft toen de andere financiële instituten in Europa geïnformeerd. Wij hebben daarnaast ook de Fed, ENISA, de UK Financial Services Authority en de politie geïnformeerd", vertelt professor Ross Anderson aan Webwereld.
Hij is één van de vier onderzoekers die de PIN-pas hebben gekraakt met huis- tuin- en keukenelektronica en een Python-script. Daarmee zijn PIN-betalingen te verrichten met een gestolen (of gekloonde) pas zonder dat de echte PIN-code nodig is.
Wakker worden
Anderson bevestigt dat de EMVCo-organisatie niet rechtstreeks op de hoogte is gebracht. "Maar ik verwacht dat ze onze paper wel hebben gekregen via de Europese Centrale Bank." De EMV-alliantie onderzoekt de kwestie nu, meldt de Britse ict-nieuwssite The Inquirer. Hetzelfde geldt voor American Express, JCB, MasterCard en Visa, ook leden van de organisatie.
Een woordvoerster van de EMVCo antwoord op vragen van Webwereld dat die organisatie zich breed met betalingsverkeer bezighoudt en niet alleen met onderdelen als het EMV-protocol, en de impact van de Britse kraak. "De EMV-specificatie is maar één deel van de totale betalingstransactie die wordt beheerd door de betalingssystemen." Zij verwijst door naar de individuele aanbieders van de verschillende betalingssystemen: American Express, JCB, MasterCard en Visa.
'Constant onderzoek'
MasterCard bevestigt tegenover de Britse ict-nieuwssite ZDnet het eigen onderzoek, maar sust dat dit gewoon onderdeel is van de reguliere en constante beveiligingskeuring. "De EMV-standaard wordt constant gemonitord door MasterCard en vele andere grote industriespelers, om te verzekeren dat het zich ontwikkeld om tegemoet te komen aan nieuwe, opkomende productbehoeftes", luidt de afgegeven verklaring. Dat omvat ook frequente en regelmatige keuring van de security, aldus MasterCard.
