De meeste data van pinautomaten is namelijk niet versleuteld, zo waarschuwt beveiligingsbedrijf Redspin. John Abraham van Redspin tegenover Digitalworld Tokyo: "Zo zijn er meerdere scenario's denkbaar, waarvan de ergste massale diefstal van kaartgegevens is."

Banken moeten vanwege nieuwe wetgeving overstappen van de verouderde des-encryptietechnologie naar de veiligere triple Data Encryption Standard. De meeste banken hebben de wetgeving aangegrepen om het dataverkeer te verplaatsen naar tcp/ip-netwerken. Dergelijke netwerken zijn makkelijker te beheren en zijn goedkoper in vergelijking met een los netwerk dat pinautomaten met een centrale server verbindt.

Ondanks het feit dat de pincode versleuteld wordt verstuurd, wordt er ook veel data onversleuteld meegestuurd. Het gaat hierbij om het kaartnummer, de vervaldatum, het saldo van de rekening en het opnamebedrag. In de oude situatie was dat geen probleem. Indien de data over een tcp/ip-netwerk gaat, waarschuwt Abraham, dan wordt dat een ander verhaal.

Naast het onderscheppen van data, lopen banken kans om slachtoffer te worden van zogeheten man-in-the-middle-aanvallen. In dat geval doet de hacker doet zich voor als centrale verwerkingsplek en instrueert de pinautomaat om voortdurend geld uit te keren.

Onwetendheid

Volgens Abraham zien banken de gevaren niet. Door de overstap naar triple des voor de versleuteling van de pincode, denken de banken dat al het verkeer beter versleuteld wordt. "Bankdirecteuren zijn nogal verrast als ze dit horen. Zij leven in de overtuiging dat alle data versleuteld is. Zeker na het overstappen naar triple des", aldus Abraham.

De pinautomatenbranche heeft al gereageerd en stelt dat er meerdere maatregelen mogelijk zijn om dergelijke problemen te voorkomen. Diverse banken hebben al firewalls en virtuele netwerken opgezet om het risico tot fraude te verminderen.

Wat de exacte technische situatie in Nederland is kon Interpay Nederland niet vertellen.