Postbank vervangt 12 miljoen bankpassen nadat medewerkers master key stelen
De Zuid-Afrikaanse Postbank heeft besloten om 12 miljoen bankpassen te vervangen nadat medewerkers de master key wisten te stelen. Het gaat om een 36-cijferige code waarmee het mogelijk is om rekeningen over te nemen, saldo's aan te passen en transacties te manipuleren, zo meldt de Sunday Times op basis van bankrapporten. Ook wordt de master key gebruikt voor het genereren van sleutels voor de bankpassen van klanten en de passen waarmee uitkeringsgerechtigden hun uitkering kunnen opnemen.
Volgens de krant was de diefstal mogelijk doordat de master key bij een oud datacenter van de bank werd geprint, waarna die door medewerkers werd gestolen. Vervolgens zou er met de master key omgerekend 2,9 miljoen euro zijn buitgemaakt van de rekeningen van mensen die een uitkering ontvangen. Via 25.000 frauduleuze transacties die van maart 2018 tot en met december 2019 plaatsvonden kon het geld worden gestolen, zo blijkt uit de bankrapporten die de Sunday Times in handen kreeg.
Vanwege het incident moet de Postbank nu alle gecompromitteerde passen vervangen waarvan de sleutel via de gestolen master key is gegenereerd. De kosten van de vervangingsoperatie worden geschat op omgerekend ruim 51 miljoen euro.
Een beveiligingsonderzoeker laat tegenover ZDNet weten dat corrupte medewerkers waarschijnlijk toegang tot de Host Master Key (HMK) hebben gekregen. "De HMK is de key die alle keys beschermt, waarmee in een mainframe-architectuur de pincodes van betaalpassen zijn te benaderen, toegangscodes voor internetbankieren, klantgegevens, creditcards."
De HMK zou daarnaast tegen fysieke toegang moeten zijn beschermd, waarbij niet één persoon toegang heeft, maar dit is verdeeld over meerdere betrouwbare personen. De key zou dan ook alleen kunnen worden gestolen wanneer alle medewerkers waarover de toegang is verdeeld corrupt zijn. Om dergelijke fraude te voorkomen worden zowel de key als de mensen die er toegang toe hebben periodiek vervangen, aldus de onderzoeker.
"Ons sal jou nooit vergeet nie".
#sockpuppet
Het aantal bits doet mij vermoeden dat ze nog met 3DES werken, in plaats van met AES-256. De effectieve lengte van 3DES is 112 bits en je kan de key makkelijk opdelen in drie stukken. Ik mag hopen dat ze dat niet doen.
Het aantal bits doet mij vermoeden dat ze nog met 3DES werken, in plaats van met AES-256. De effectieve lengte van 3DES is 112 bits en je kan de key makkelijk opdelen in drie stukken. Ik mag hopen dat ze dat niet doen.
Dat geneuzel over nog meer crypto bitten is geneuzel - ergens boven de 80..100 bit zit je gewoon veilig als je praat over brute force aanvallen.
Wat er mis ging bij deze bank was precies zo misgegaan met AES-256 .
Om de een of andere reden trekt het kleinste probleem (crypto key lengtes en crypto algorithmes) qua security onevenredig veel aandacht .
Wat helaas nog niet duidelijk is uit de berichtgeving : wat _doe_ je dan verder als crimineel, om van deze 'masterkey' naar 'onbeperkt geld' te komen ?
We lezen dat men 25.000 frauduleuze transacties over 18 maanden kon plegen . Blijkbaar dus zonder dat daar voldoende op geacteerd werd . *Dat* is een probleem.
Echte waterdichte security bestaat dus niet en we moeten er méér en méér mee rekening houden dat alles wat beveiligd
LIJKT te zijn vroeg of laat gestolen kan worden....
Het NIST noemt TripleDES 'depreciated' sinds 2017. De enige reden om het nog te gebruiken is compatibiliteit met oude standaarden.
https://csrc.nist.gov/news/2017/update-to-current-use-and-deprecation-of-tdea
Dat bevreemde me ook. Als er zoveel rekeningen met kleine bedragen geplunderd werden, moeten er toch veel klachten gekomen zijn. Er werd alleen geld afgeboekt bij mensen met uitkeringen. Blijkbaar wisten ze precies bij welke rekeningen er geen klachten zouden komen.
Dus geen grote bedragen bij een paar rekeningen wegsluizen en dan direct tegen de lamp lopen, maar steeds kleine bedragen die niet opvallen. Waarschijnlijk steeds een bekende omschrijving in het afschrift, maar met een ander rekeningnummer waar het naar toe ging.
Echte waterdichte security bestaat dus niet en we moeten er méér en méér mee rekening houden dat alles wat beveiligd
LIJKT te zijn vroeg of laat gestolen kan worden....
Dat bevreemde me ook. Als er zoveel rekeningen met kleine bedragen geplunderd werden, moeten er toch veel klachten gekomen zijn. Er werd alleen geld afgeboekt bij mensen met uitkeringen. Blijkbaar wisten ze precies bij welke rekeningen er geen klachten zouden komen.
Dus geen grote bedragen bij een paar rekeningen wegsluizen en dan direct tegen de lamp lopen, maar steeds kleine bedragen die niet opvallen. Waarschijnlijk steeds een bekende omschrijving in het afschrift, maar met een ander rekeningnummer waar het naar toe ging.
Er is heel weinig informatie om echt op te speculeren hoe het verlopen is, maar ik vind dit een indicatie van veel erger systematisch falen dan het lekken van die masterkey .
Dat die masterkey zichtbaar werd is uiteindelijk een kwestie van één of misschien enkele personen die 'fout' zijn.
"Vier ogen" in security zegt uiteindelijk niet _zo_ veel : het is een statement dat je de mogelijkheid van één kwaadwillende persoon niet uitsluit, maar de kans op twee 'nihil' (of 'acceptabel klein' ) acht.
Wel, _zo_ zeldzaam zijn twee foute/corrupte/domme mensen ook weer niet - of één foute en één junior hulpje dat zich laat foppen.
Uiteindelijk is de _kern_ business van een bank geld transacties doen - en zo foutloos mogelijk.
Dat er zo lang zo veel frauduleus gedaan konden worden zegt m.i. dat alle controle/accounting/processen gefaald hebben.
Als de transacties zichtbaar waren voor de slachtoffer-klanten moeten daar zichtbaar 'meer dan normaal' geklaagd hebben.
Je gaat dan eerder vermoeden dat er ook mensen corrupt waren op de plek die daarop moesten reageren .
Misschien was er een beleid om 'kleine missers' zonder veel vragen aan de klant vanuit de bank te vergoeden - maar dan nog moeten er mensen zitten die zien dat dat abnormaal hard gaat.
Het NIST noemt TripleDES 'depreciated' sinds 2017. De enige reden om het nog te gebruiken is compatibiliteit met oude standaarden.
https://csrc.nist.gov/news/2017/update-to-current-use-and-deprecation-of-tdea
Niet depreciated maar deprecated. Maar je hebt gelijk hoor. Zeker voor een master key zou men zoiets nooit mogen gebruiken.
Voor de fun: Je hebt in Zuid Afrika 57 miljoen mensen, waarvan 25 gebruik maken van de Postbank
Hoe stel jij een keyrollover voor?
Ga je direct 25 Miljoen bankpassen vernieuwen of doe je dat in stappen? en binnen hoeveel jaar wens je klaar te zijn?
Voor de fun: Je hebt in Zuid Afrika 57 miljoen mensen, waarvan 25 gebruik maken van de Postbank
Hoe stel jij een keyrollover voor?
Ga je direct 25 Miljoen bankpassen vernieuwen of doe je dat in stappen? en binnen hoeveel jaar wens je klaar te zijn?
Oh? Dus omdat het moeilijk is wil je dat men een onveilige oplossing gewoon blijft gebruiken? Die om te beginnen al nooit gebruikt had mogen worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.