Het gat bevindt zich in het Eurocard, Mastercard en Visa (EMV) protocol, een wereldwijde standaard voor het afhandelen van elektronische betalingen met credit cards en pinpassen. Dit wordt ook gebruikt in Nederland voor het zogenaamde nieuwe pinnen. Toen bleek dat deze skimmethode gebruikt kon worden werd het gat in de Nederlandse netwerken gedicht.

Skimmen met printplaatje

In het buitenland bleef het open staan. Nederlanders in het buitenland kunnen nog steeds slachtoffer worden van het gat. Criminelen kunnen nog steeds de pincodes oogsten. In combinatie met een gestolen bankpas kan vervolgens de rekening van de eigenaar worden leeggehaald. Het oogsten van de pincodes gebeurt door het aanbrengen van een printplaatje (een shim) in betaalterminals, die vervolgens alle pincodes van ingestoken kaarten opvangt.

Het lek kan gedicht worden door de beheerders van EMV die verantwoordelijk zijn voor het betalingsprotocol: EMVCo. In deze organisatie zijn credit card maatschappijen Visa, Mastercard, American Express en JCB International verenigd. Zij zijn echter niet van plan om het gat te dichten, omdat de fout maar een kleine schakel is in het beveiligingssysteem.

'Genoeg tegenmaatregelen'

Dit is tegen het zere been van de ontdekkers van het gat. De beveiligingsbedrijven Inverse Path en Aperture Labs onthulden het euvel in maart dit jaar tijdens de CanSecWest security conferentie in Vancouver. Volgens de onderzoekers is het gat redelijk eenvoudig te dichten.

"Deze bug kan relatief makkelijk worden gerepareerd met firmware updates", zegt Andrea Barisani Chief Security Engineer bij Inverse Path. Daarvoor zou EMVCo de EMV-specificatie moeten aanpassen, maar dit is EMVCo niet van plan.

In een e-mail laat de organisatie weten dat er genoeg andere onderdelen in de specificatie aanwezig zijn om de veiligheid van het systeem te garanderen. "Het is de mening van EMVCo dat er gelet op het volledige betalingsproces genoeg tegenmaatregelen voorhanden zijn", mailen de credit card providers.

'EMV kampt met serieus probleem'

Barisani is het daar niet mee eens. "De genoemde security features in de EMV-specificatie zijn ontoereikend of niet correct geïmplementeerd en de ruimte die open blijft voor aanvallen als de onze is groot", waarschuwt Barisani. "Wij zijn van mening dat, ondanks de claims van de industrie over verminderde fraudegevoeligheid, de EMV ontoereikend en veel te complex is. Het zou vervangen moeten worden door een meer simpele oplossing"

Hij krijgt bijval van Ross Anderson, Professor Computer Engineering aan de Universiteit van Cambridge, die eerder ook al gaten ontdekte (pdf) in het EMV-protocol. Hij prijst het onderzoek van Barisani en consorten: "Het betekent dat de pin-encryptie van EMV gewoon niet goed is geprogrammeerd, het protocol zou veranderd moeten worden om het te repareren." Het zou hem ook niets verbazen als het gat al wordt misbruikt, maar het is moeilijk om daar achter te komen omdat het geen prioriteit heeft bij banken en omdat geskimde klanten door die banken worden gecompenseerd.

Volgens Anderson zit er "een serieuze fout" in EMV, "net zoals in andere betaalnetwerken". Toch wil hij de verantwoordelijkheid niet helemaal bij EMVCo leggen. "EMVCo mag dan de standaard hebben ontwikkeld, maar nu die bestaat wordt hij effectief beheerd door de vendoren. Noch 100 leveranciers, noch 10.000 banken zijn voldoende gecoördineerd om in staat te zijn om ook maar iets te repareren", zegt Anderson. Volgens hem is het uiteindelijk aan de autoriteiten die regels maken voor banken om in te grijpen. "Het zou fijn zijn als de Europese Centrale Bank zijn tanden zou laten zien, maar het lijkt er niet op dat ze iemand in dienst hebben die ook maar iets van techniek begrijpt."

'Banken liegen'

Ook hekelt hij de trage responstijd van veel banken. "Het duurt jaren om systemen te herprogrammeren en nog eens jaren om de kaarten vervangen." Iets dat in Nederland blijkbaar niet nodig was bij het repareren van het EMV-gat. Currence, die namens de Nederlandse banken toeziet op het elektronische betaalverkeer, repareerde dat gat binnen een paar weken nadat het bekend werd.

Anderson is er echter niet van overtuigd dat alle claims van gedichte gaten in betaalsystemen noodzakelijkerwijs waar hoeven te zijn. "Vaak liegen ze [de banken - red.] gewoon in plaats van problemen op te lossen omdat dat gewoon makkelijker is."

De Europese Centrale Bank (ECB) wilde niet ingaan op een verzoek om commentaar en verwijst voor aanvullende informatie door naar de European Payments Council (ECP) die verantwoordleijk is voor de besluitvorming rondom betaalsystemen in Europa. Ook de ECP wilde niet reageren.