De Nederlandse betaalbranche heeft in 2012 al de kwetsbaarheid gedicht waarvan de Cambridge universiteit nu melding maakt. Onderzoekers beschrijven in een nieuw paper dat pintransacties kwetsbaar zijn voor manipulatie middels een man-in-the-middle (MITM) aanval op het verkeer tussen terminal en bank. Dit kan omdat het EMV-protocol, ontworpen om pinfraude uit te bannen, geen end-to-end authenticatie kent.

In 2012 al gedicht

Maar volgens Nederlandse banken en betaaldiensten, verenigd in Betaalvereniging Nederland, hebben zij deze kwetsbaarheid al eerder gevonden en gedicht, op basis van een eerder paper van dezelfde onderzoekers.

"Wij hebben in 2012 de beschreven kwetsbaarheden gevonden die nu door de Cambridge universiteit gerapporteerd worden, en maatregelen genomen", aldus de woordvoerster van Betaalvereniging Nederland in een reactie aan Computerworld.

Het is niet duidelijk in hoeverre de Nederlandse betaalinstellingen de bevindingen hebben gedeeld met de wetenschappers uit Cambridge. Onderzoeker Ross Anderson was nog niet bereikbaar voor commentaar.

UPDATE: kop en artikel aangepast om weer te geven dat de banken niet claimen het 'nieuwe' lek zelf ontdekt te hebben. De maatregelen zijn in 2012 genomen naar aanleiding van een eerder paper uit Cambridge. Hierdoor is volgens de Betaalvereniging Nederland ook de MITM-aanval onmogelijk gemaakt die nu pas door de onderzoekers uit de doeken wordt gedaan.

Achtergrond over het EMV-lek op Computerwold: 'Nieuwe pinnen' kwetsbaar voor man-in-the-middle aanval