-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Postbank: pracownicy banku wydrukowali tajny „master key” a następnie dzięki niemu zrealizowano około 25 000 „lewych” transakcji.

15 czerwca 2020, 20:29 | W biegu | komentarzy 6

O sprawie donoszą lokalne (RPA) media:

The breach resulted from the printing of the bank’s encrypted master key in plain, unencrypted digital language at the Postbank’s old data centre in the Pretoria city centre. (…)The master key is a 36-digit code (encryption key) that allows its holder to decrypt the bank’s operations and even access and modify banking systems. It is also used to generate keys for customer cards.

Z opublikowanych informacji ciężko wnioskować o jaki dokładnie „master key” chodzi. Może taki, używany w tym schemacie? W każdym razie rzeczywiście wygląda na to, że można było w pewien sposób „wytworzyć” pieniądze na koncie danej (dowolnej?) karty:

An internal Postbank report, compiled in January, titled Major Operational Risk Event Report: Postbank Card Compromise, says that on February 20 and 21 last year, risk and fraud experts from Absa and Standard Bank tested two Postbank-issued Sassa cards. The report says the experts concluded that the balances in the two cards had been changed using the master key.

Obecne straty to równowartość około 12 000 000 PLN (w przeliczeniu z południowoafrykańskich Randów):

Between March 2018 – three months after the master key was generated – and December 2019, the bank recorded about 25,000 fraudulent transactions in which R56m was stolen from grant beneficiaries. The money was stolen from social grant cards.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Wujek Pawel

    Przeciez w kazdym banku to tak dziala. Idziesz po kredyt, twoj wniosek przechodzi i pan/pani wchodzi na twoje konto i wpisuje kwote (tworzy pieniadze), ktore ty pozniej oddajac „legalizujesz”. W RPA po prostu poplyneli za bardzo. Polecam juz dosc stara kreskowke pt. Money as a Debt, jest na YT z polskimi napisami.

    Odpowiedz
    • lolwut

      Dawno nie czytałem takiej bzdury.

      Odpowiedz
      • Andrew

        A jak inaczej to niby działa? Każdy taki pieniądz jest tworzony fiskalnie

        Odpowiedz
  2. Michał Głuchowski

    Trudno powiedzieć, który klucz z tej informacji – może być Issuer Master do gerneracji kryptogramów albo do secure messagingu. W jednym przypadku można skutecznie podszywać się pod kartę w transakcjach online, w drugim modyfikować sobie PIN i przestawiać saldo offline (jeśli jest wykorzystywane, a sieć akceptacji obsługuje transakcje offline).

    Odpowiedz
  3. Michał Głuchowski

    Przy okazji, ten klucz master to raczej ma 32 znaki, reszta to może jakieś KCV.
    A poza tym, Bank chyba dosyć luźno podszedł do kwestii wymiany mastera po przekroszeniu pewnej puli kart (zalecenia odnośnie tej liczby są wielokrotnie niższe niż to, ile kart muszą wymienić). Ten przypadek doskonale pokazał, po co takie zalecenia istnieją.

    Odpowiedz
  4. Maciej

    Z tego white paper:

    3DES – serio?
    I ktoś się nie zna bo podali że klucz ma 128 bitów.

    Odpowiedz

Odpowiedz na Michał Głuchowski