Gisteren ontstond ophef over een kwetsbaarheid in het PIN-systeem die in de VS op grote schaal wordt misbruikt om pincodes buit te maken en rekeningen te plunderen.

De aanvallen op PIN-encryptie zijn gericht op de hardware security modules (HSM). Het probleem is dat het PIN-nummer meestal via verschillende HSM's loopt over verschillende bankennetwerken om uiteindelijk bij de bank van de pinnende klant uit te komen. Die HSM's worden op verschillende manieren en door verschillende partijen geconfigureerd en beheerd en sommigen blijken kwetsbaar. Om dit op te lossen moest het hele systeem op de schop, zo concludeerden de onderzoekers van Verizon.

Of ook Nederlandse pinners gevaar liepen was niet meteen duidelijk. De Nederlandse Vereniging van Banken (NVB) was in eerste instantie onbereikbaar, maar laat weten dat het Nederlandse systeem al reeds lang beveiligd is tegen aanvallen van crackers.

Drie jaar oude methode

De kwetsbaarheid is al drie jaar geleden aangetoond door wetenschappers in het artikel 'The unbearable lightness of PIN cracking' (pdf). Daarna hebben Currence, eigenaar van het pinsysteem in Nederland en de NVB maatregelen genomen, bevestigen beide organisaties tegenover Webwereld.

"De banken in Nederland hebben hun systemen dusdanig ingericht dat een aanval zoals Verizon beschrijft bij Nederlandse banken niet mogelijk is. Het Nederlandse PIN-systeem is goed beveiligd. Over hoe de beveiliging is ingericht, worden geen details gegeven", aldus een woordvoerster van de NVB.

Een zegsman van Currence vult aan: "Wat ons betreft dus oud nieuws. Geen reden voor paniek. Maar blijkbaar is niet elk land even goed geoutilleerd en beveiligd als Nederland…"