WEP veilig genoeg voor creditcard tot medio 2010?
05-10-2008,21:20 door
Op 1 oktober heeft de Payment Card Industry (PCI), dat wil zeggen de samenwerkende creditcardbedrijven, waaronder Mastercard en Visa, een nieuwe versie van haar Data Security Standard (DSS) vrijgegeven. Ook kleine handelaren met een beperkt aantal creditcardtransacties moeten aan de eisen zoals gesteld in de PCI DSS voldoen. Versie 1.2 van de Payment Card Industry Data Security Standard (PDF). Overzicht van wijzigingen tussen PCI DSS v1.1 en v1.2 (PDF). Interessant zijn de wijzigingen m.b.t. het gebruik van WEP bij draadloze WiFi verbindingen: WEP mag bij nieuwe draadloze implementaties nog worden toegepast tot 31 maart 2009, terwijl het in "bestaande" implementaties nog mag worden gebruikt tot 30 juni 2010.
Volgens dit Security.nl artikel werden bij het Amerikaanse grootwinkelbedrijf TJX de creditcardgegevens van 94 miljoen klanten gestolen via een met WEP-beveiligde WiFi-verbinding. Ook John Leyden (The Register) maakt hiervan melding in dit artikel (tevens mijn bron voor dit stuk).
Wellicht is het zo dat veel van de benodigde apparatuur die nu op de markt is nog geen WPA of WPA2 ondersteunt, en de PCI retailers niet op hoge kosten wil jagen (door ze op korte termijn te dwingen om nieuwe apparatuur te kopen, wat uiteindelijk het belang van de creditcardmaatschappijen zu kunnen schaden).
Feit is dat de PCI het handelaren toestaat om van bewezen onveilige protocollen gebruik te maken en daarmee creditcardgebruikers bewust blootstelt aan een eenvoudige mogelijkheid tot diefstal van de inhoud van hun (digitale) portemonnee alsmede personlijke gegevens. Persoonlijk vind ik dit schandalig, helemaal gezien er op geen enkele wijze (anders dan genoemde termijnen) in de DSS op gewezen wordt dat WEP eigenlijk 'not done' is.
Weet iemand of er in Nederland en België aanvullende regels (wettelijk?) bestaan op dit gebied?
Weet iemand of dit soort thema's aan de orde komen bijv. bij seminars van het project Vertrouwen 2.0 van ECP of vergelijkbare organisaties?
Volgens dit Security.nl artikel werden bij het Amerikaanse grootwinkelbedrijf TJX de creditcardgegevens van 94 miljoen klanten gestolen via een met WEP-beveiligde WiFi-verbinding. Ook John Leyden (The Register) maakt hiervan melding in dit artikel (tevens mijn bron voor dit stuk).
Wellicht is het zo dat veel van de benodigde apparatuur die nu op de markt is nog geen WPA of WPA2 ondersteunt, en de PCI retailers niet op hoge kosten wil jagen (door ze op korte termijn te dwingen om nieuwe apparatuur te kopen, wat uiteindelijk het belang van de creditcardmaatschappijen zu kunnen schaden).
Feit is dat de PCI het handelaren toestaat om van bewezen onveilige protocollen gebruik te maken en daarmee creditcardgebruikers bewust blootstelt aan een eenvoudige mogelijkheid tot diefstal van de inhoud van hun (digitale) portemonnee alsmede personlijke gegevens. Persoonlijk vind ik dit schandalig, helemaal gezien er op geen enkele wijze (anders dan genoemde termijnen) in de DSS op gewezen wordt dat WEP eigenlijk 'not done' is.
Weet iemand of er in Nederland en België aanvullende regels (wettelijk?) bestaan op dit gebied?
Weet iemand of dit soort thema's aan de orde komen bijv. bij seminars van het project Vertrouwen 2.0 van ECP of vergelijkbare organisaties?
