Kako je južnoafriška banka zamenjala 12 milijonov kartic zaradi ukradenega ključa

V južnoafriški Postbank so morali zamenjati 12 milijonov kartic, ker je eden izmed zaposlenih ukradel 36-bitni glavni ključ (master key), razkriva The Sunday Times, ki je pridobil poročilo iz julija 2019. Incident se je zgodil že decembra 2018, posledice pa so bile občutne. Ni šlo le za zamenjavo milijonov kartic, temveč tudi za več tisoč lažnih transakcij in milijonske škode.

Neimenovani uslužbenec je decembra 2018 v starem podatkovnem centru v Pretoriji na list papirja natisnil 36-bitni ključ. Omenjeni ključ omogoča dostop do informacijskega sistema v banki, izvajanje transakcij in njihovo spreminjanje ter celo izdajanje plačilnih kartic. Med marcem in decembrom lani so zlikovci s tem ključem izvedli 25.000 lažnih transakcij in ukradli za 56 milijonov randov sredstev (2,9 milijona evrov). Prizadetih je 8-10 milijonov imetnikov kartic, še milijonu pa so ukradli osebne informacije. To se sliši veliko, a zaradi tega bo banka morala zamenjati vse kartice (plačilne in tudi posebne, denimo za prejemanje socialne podpore), ki so bile v tem obdobju izdane (ker so uporabljale omenjeni ključ), kar bo stalo milijardo randov (52 milijonov evrov). V tem času s kompromitiranimi karticami ni bilo možno izvajati off-line transakcij.

Napadalci, ki jih je preiskava identificirala kot zaposlene, so ukradli tako imenovani HMK (Host Master Key). Ta se uporablja za zaščito vseh ostalih ključev in celotne infrastrukture, torej bi lahko z njim spreminjali delovanje bankomate, e-bančništva, kreditnih kartic itd. Zaradi tega so HMK-ji običajno zelo dobro zavarovani, na posebnih strežnikih z namenskim informacijskim sistemom, kjer je fizični dostop strogo varovan. Prav tako ni običaj, da bi lahko ključ dobila ena sama oseba, temveč je dostop razdeljen med več uslužbencev. Redno se menjajo tako ključ kakor upravičenci do dostopa.