De Britse bankorganisatie heeft de universiteit van Cambridge gevraagd om een rapport over beveiligingslekken in 'Chip en PIN' bankpassen offline te halen. Volgens de Cards Association zou de publicatie in strijd met het op verantwoorde wijze melden van problemen zijn, omdat het rapport teveel details over de "No-PIN-aanval" op bankpassen bevat. Ook klaagde de bankorganisatie over een blogposting van één van de onderzoekers.

"Onnodig om te zeggen zijn we hier niet erg onder de indruk van en dit heb ik in mijn antwoord aan de bankiers duidelijk gemaakt", zegt Ross Anderson, één van de onderzoekers die onderzoek naar de Britse betaalpassen verrichtte.

Anderson haalt in zijn antwoordbrief hard uit naar de banken. Die stellen dat de student die de betaalpassen onderzocht een transactie vervalste zonder de winkelier eerst te waarschuwen. "Ik begrijp niet de basis voor deze vraag. De banken in Frankrijk beweerden, net als jullie, dat hun systemen veilig zijn. Een Franse televisieprogramma wilde dit ontkrachten."

Censuur
De banken klagen volgens Anderson dat het werk van de onderzoekers het publieke vertrouwen in het betaalsysteem ondermijnt. "Wat het vertrouwen van het publiek in het betaalsysteem ondersteunt is bewijs dat de banken eerlijk en open zijn in het toegeven van beveiligingslekken als die worden onthuld, om die vervolgens op te lossen." De brief van de banken zou echter aantonen dat banken hun uiterste best doen om het werk van partijen buiten hun "gezellige club" af te keuren en zelfs te censureren.

Anderson merkt op dat de bankpassen van Barclays niet meer kwetsbaar voor de aanval zijn. De bankiers laten weten dat ze ook toekomstig onderzoek vrezen. Een nieuw onderzoek van Anderson en zijn collega's is inmiddels geaccepteerd voor Financial Cryptography 2011. "Dit is ons kerstcadeau voor de bankiers: het betekent dat jullie allemaal naar deze conferentie moeten komen om te horen wat we te zeggen hebben."