De organisatie die de EMV-beveiliging voor PIN-betalingen heeft opgezet, neemt de kraakmethode onder de loep die wetenschappers van de Cambridge-universiteit hebben onthuld. Die onthulling is eerder deze maand gedaan nadat de onderzoekers begin december vorig jaar al de banken en bankautoriteiten op de hoogte hebben gebracht.
Banken gewaarschuwd
"We hebben toen de Europese Centrale Bank geïnformeerd en die heeft toen de andere financiële instituten in Europa geïnformeerd. Wij hebben daarnaast ook de Fed, ENISA, de UK Financial Services Authority en de politie geïnformeerd", vertelt professor Ross Anderson aan Webwereld.
Hij is één van de vier onderzoekers die de PIN-pas hebben gekraakt met huis- tuin- en keukenelektronica en een Python-script. Daarmee zijn PIN-betalingen te verrichten met een gestolen (of gekloonde) pas zonder dat de echte PIN-code nodig is.
Wakker worden
Anderson bevestigt dat de EMVCo-organisatie niet rechtstreeks op de hoogte is gebracht. "Maar ik verwacht dat ze onze paper wel hebben gekregen via de Europese Centrale Bank." De EMV-alliantie onderzoekt de kwestie nu, meldt de Britse ict-nieuwssite The Inquirer. Hetzelfde geldt voor American Express, JCB, MasterCard en Visa, ook leden van de organisatie.
Een woordvoerster van de EMVCo antwoord op vragen van Webwereld dat die organisatie zich breed met betalingsverkeer bezighoudt en niet alleen met onderdelen als het EMV-protocol, en de impact van de Britse kraak. "De EMV-specificatie is maar één deel van de totale betalingstransactie die wordt beheerd door de betalingssystemen." Zij verwijst door naar de individuele aanbieders van de verschillende betalingssystemen: American Express, JCB, MasterCard en Visa.
'Constant onderzoek'
MasterCard bevestigt tegenover de Britse ict-nieuwssite ZDnet het eigen onderzoek, maar sust dat dit gewoon onderdeel is van de reguliere en constante beveiligingskeuring. "De EMV-standaard wordt constant gemonitord door MasterCard en vele andere grote industriespelers, om te verzekeren dat het zich ontwikkeld om tegemoet te komen aan nieuwe, opkomende productbehoeftes", luidt de afgegeven verklaring. Dat omvat ook frequente en regelmatige keuring van de security, aldus MasterCard.
In een artikel op webwereld is te lezen:
Is dit echt zo of probeert de NVB de boel te sussen en daarmee onder de pet te houden? De tijd zal het leren.
Blijkbaar is er technologie die bestand is tegen de hack (zoals de apparaten in Nederland) dus in principe hoeft niet het hele pin systeem afgeschaft te worden.
Ik kan me indenken dat een software update die ervoor zorgt dat een pin-apparaat zonder geldige pin-code gewoon weigert de betaling af te handelen misschien het probleem al is opgelost.
Als die software oplossing moeilijk of niet uit te rollen blijkt hebben we een wat groter probleem, want dan moeten mensen hun pin-apparaten vervangen...
Maar voor het zover komt om zware conclusies te trekken kunnen we beter even afwachten op het vervolg van het onderzoek, ipv ons geld van de bank naar een oude sok te verplaatsen.
Gaat lekker. Straks weer allemaal terug naar het loonzakje en de oude sok?
Reageer
Preview