Miljoenen klanten van Barclays bank hebben een pinpas of creditcard met NFC-technologie, die naam, volledig pasnummer en vervaldatum prijsgeven aan iedereen met een NFC-reader, zoals ook steeds vaker in smartphones zit.

Data lekt ongemerkt

Passen met NFC-tech zijn dé toekomst, propageert Barclays. Het betekent dat de gebruiker met een veeg langs een terminal, zonder pincode kan betalen, vergelijkbaar met de OV-chipkaart. Het is echter wel de bedoeling dat de pas alleen zijn data versleuteld prijsgeeft aan een geautoriseerde terminal, en daar heeft de bank gefaald, ontdekte de Britse tv-omroep Channel 4.

Er zijn nu naar schatting circa 13 miljoen passen in omloop waar de data simpelweg draadloos lekt. Oogsten kan ongemerkt door bijvoorbeeld een NFC-enabled smartphone in de buurt te houden of, met een sterkere antenne, ook op afstand.

Shoppen bij Amazon

Met de geoogste creditcardgegevens is het daarna kinderspel om online frauduleuze transacties te verrichten. Dat kan omdat het bij een aantal webshops, waaronder Amazon, niet nodig is om het zogenaamde CVC-nummer wat achterop de pas staat in te voeren. De uit de Barclays-passen gelekte data is voldoende om op andermans rekening te shoppen.

UPDATE: Volgens de Betaalvereniging Nederland geven Nederlandse banken, een kleinschalige pilot daargelaten, geen pinpassen of creditcards met een NFC-chip erop uit.

Reportage over NFC-lek van Channel 4: