Эксперты по банковской безопасности не раз  предупреждали производителей, что теоретически существует способ перехвата PIN-кодов через модули HSM. И вот первый случай фактического использования этой потенциальной уязвимости обнаружен.

Как пишет SecurityLab, что при наличии сообщника внутри банка преступники могут записывать PIN-коды как в зашифрованном, так и в открытом виде. Подобное может происходить из-за неспособности или нежелания администратора решить проблемы совместимости с унаследованными приложениями или с «непослушными» банкоматами за счет использования стандартных процедур и инструментов. Таким образом, на каком-то этапе обработки PIN-коды оказываются незашифрованными, а система контроля просто не замечает этого, поскольку далее они передаются снова закодированными.

Однако производители HSM-модулей заявляют, что их продукция поставляется со стандартными настройками, которые не допускают подобных атак. В то же время, установкой и настройкой таких модулей могут заниматься не всегда добропорядочные люди, так что система действительно уязвима.

(Всего прочитано 9 раз, из них 1 посещений сегодня)
0