De aanvallers die bij de Amerikaanse winkelketen Target de gegevens van 40 miljoen debit- en creditcards wisten te stelen hebben ook de versleutelde PIN-codes buitgemaakt, zo laat een bron aan persbureau Reuters weten. De winkelketen ontkent dit, maar banken lijken zich toch zorgen te maken.

De kaartdiefstal bij Target, die van 27 november tot 15 december plaatsvond, behoort tot één van de grootste in de Amerikaanse geschiedenis. De aanvallers wisten de kassasystemen bij de meeste vestigingen met malware te infecteren en zo klantnaam, credit- of debitcardnummer, de verloopdatum van de kaart en CVV-beveiligingscode van 40 miljoen betaalkaarten te stelen, zo liet Target zelf weten.

Wat betreft de gestolen CVV-codes gaat het hier om de CVV-code die op de magneetstrip staat. Deze code wordt bij het betalen bij een kassa gecontroleerd. Het gaat hier niet om de CVV2-code, die zich achterop de kaart bevindt en bijvoorbeeld bij online aankopen moet worden ingevuld.

PIN-code

Een bron die met het onderzoek bekend is verklaart tegenover Reuters dat de aanvallers ook het versleutelde Persoonlijke Identificatie Nummer (PIN) van de kaart hebben bemachtigd. Via een RAM-schraper is het mogelijk om de PIN-code van de betaalkaart uit het geheugen van de kassa te lezen. Dit soort malware wordt al jaren tegen winkels en kassasystemen ingezet.

Target zegt in een reactie dat het geen reden heeft om aan te nemen dat de PIN-gegevens zijn gecompromitteerd. Vanwege de inbraak bij het bedrijf besloten verschillende banken echter de opnamelimiet van klanten te verlagen. Iets wat volgens analisten en experts zeer bijzonder is. Een beveiligingsconsultant stelt dat het hier om een voorzorgsmaatregel gaat zolang niet bekend is of de PIN-codes inderdaad gestolen zijn.