Dit schrijft een onderzoeker van Verizon in een jaarlijks rapport over datalekken. Hackers kunnen zowel versleutelde als onversleutelde PIN-data kraken en daardoor grote hoeveelheden persoonlijke data stelen. Telecombedrijf Verizon heeft onderzoek gedaan naar de beveiliging van PIN-systemen die gebruikt worden voor credit- en debitcards. Volgens onderzoeker Bryan Sartin is dat de oorzaak van het stelen van miljoenen dollars via geldautomaten in de VS.

"We zien een hele rits nieuwe aanvallen waarvan we een jaar geleden nog dachten dat ze alleen academisch mogelijk waren", aldus Sartin. "We zien nu dat mensen direct naar de bron gaan en de versleutelde PIN-blokken stelen. Daarbij maken ze gebruik van complexe systemen om de versleuteling te kraken."

Nederlandse passen ook kwetsbaar

"Dit kan in theorie ook alle passen in Nederland raken, want de methodiek is natuurlijk hetzelfde", zegt een woordvoerder van transactieverwerker Equens. Hij kan echter geen uitsluitsel geven en verwijst naar de Nederlandse Vereniging van Banken als overkoepelende organisatie. De vereniging kon niet direct reageren op een verzoek om commentaar.

Eerder werd aangenomen dat dieven alleen via phishing of het skimmen van passen de PIN-gegevens konden bemachtigen. Als de PIN-code eenmaal was ingetikt en versleuteld zou de data veilig zijn tussen de automaat en de bank, werd over het algemeen geloofd. De nieuwe PIN-hacks bewijzen dat die theorie in de prullenbak kan. Volgens nieuwssite Wired dreigt dit het hele transactieproces van banken aan het wankelen te brengen.

Geen oplossing

Vorig jaar werd al bekend dat een bende hackers bezig was creditcardgegevens van veertig miljoen mensen te stelen via winkels in de VS. Maar deskundigen geloofden niet dat de dieven in staat waren de codes van die betaalkaarten te kraken.

Volgens experts is er ook geen echte oplossing voor het probleem. Dat kan pas de wereld uit als het hele betaalsysteem wordt vernieuwd. "Je moet echt bij het begin beginnen", zegt Graham Steel tegen Wired. Hij is onderzoeker bij het Franse Nationale Instituut voor research in computerwetenschappen. "Maar dan breng je veranderingen aan die niet backwards compatible zijn."

De hacks zouden vooral consumenten erg hard treffen. Het geld wordt namelijk direct van de accounts van de individuele rekeningen gehaald. In tegenstelling tot creditcardfraude, moet de consument bewijzen dat hij of zij niet zelf geld heeft gepind.

Kwetsbaarheden

De aanvallen op PIN-encryptie zijn gericht op de hardware security modules (HSM). Die vormen een beveiligingslaag op de switches in het netwerk van banken, waarmee PIN-nummers worden doorgegeven. Daarmee kunnen de nummers versleuteld en weer zichtbaar worden gemaakt. De regels voor het betalingsverkeer vereisen dat PIN-nummers versleuteld zijn als ze tussen twee punten zweven. Daardoor is de data nutteloos als iemand de gegevens onderschept.

Probleem hierbij is dat het PIN-nummer meestal via verschillende HSM's loopt over verschillende bankennetwerken om uiteindelijk bij de bank van de pinnende klant uit te komen. Die HSM's worden op verschillende manieren en door verschillende partijen geconfigureerd en beheerd. Sommigen zijn in handen van derden die niet direct gelieerd zijn aan de bank, aldus Verizon-onderzoekers Sartin. Bij elke switch wordt de data zichtbaar gemaakt en daarna weer versleuteld met de goede sleutel voor de volgende etappe van de af te leggen weg. De hele reis is versleuteld met een 'master key' die opgeslagen is in de module of in in de application programming interface (api) van de HSM.

"In essentie zorgt de dief ervoor dat de HSM de encryptiesleutel prijsgeeft", aldus Sartin. Dit kan door een slechte configuratie van de modules of door verschillende kwetsbaarheden in de modules.