Ingenico: ez sem védett

A tanulmány a brit Chip and PIN rendszerű bankautomatákkal foglalkozik, amelyekben a bankkártya és az automata között zajló kommunikáció nem titkosított, azaz a bankkártya adatai, köztük a PIN-kód is könnyűszerrel leolvasható. Ennek birtkoában viszonylag egyszerűen készíthető egy olyan hamis kártya, amelyről mind Angliában, mind pedig külföldön tetszőlegesen emelhető le pénz.

A kutatók (Saar Drimer, Steven J. Murdoch és Ross Anderson) elmondásuk szerint azért fogtak neki a biztonsági rések felderítésének, mert számos korábbi biztonsági felhívás ellenére a bankok még mindig nem változtattak módszereiken. Nem ritkák azok a panaszok, amelyekben az ügyfelek arról számolnak be, hogy valaki a nevükben, a saját kártyájukkal vett fel pénzt egy terminálról. A kísérletek két, általánosan elterjedt automatával folytak: az Ingenico i3300 és a Dione Xtreme egy-egy példányát egyszerűen az eBay-ről rendelték a kutatólaborba.

Drimer és társai Thinking inside the box: system-level failures of tamper proofing c. tanulmányukban közel negyven oldalon keresztül részletezik a bankautomaták biztonsági rendszerének hibáit, rámutatva arra, hogy egy irodai gemkapocs és egy párszáz fontos, egyszerűen beszerezhető apparátus segítségével rengeteg hamis bankkártyát lehet gyártani.

A tanulmányt február végén publikálták, a brit banki szakma érintett képviselőit, az automaták biztonsági besorolásáért és vizsgálatáért felelős szerveket azonban már tavaly novemberben keresték meg. Elmondásuk, illetve a projekt weboldalán közölt válaszlevelek szerint a banki szereplők biztonsági okokra hivatkozva elhallgatják a kutatók által fontosnak ítélt részleteket, nem vonják be a támadható automatákat és reakciókból ítélve nem tartják figyelem előtt a bankkártyákat használó állampolgárok érdekeit sem.