De bekende Duitse onderzoeker Karsten Nohl heeft kritieke kwetsbaarheden in de betaalautomaten van Duitse banken ontdekt, waardoor kwaadwillenden pincodes kunnen stelen, nepkaarten kunnen maken of geld van klanten en winkels kunnen stelen.

Het gaat om twee aanvallen, waarbij de eerste aanval de pincode van de pinpas steelt of transacties spooft als klanten afrekenen. Bij de tweede aanval wordt de betalingsverwerker misleid, die zich tussen de bank en winkel bevindt. Op deze manier kan geld van de ene rekening naar een andere rekening worden overgemaakt. Nohl ontdekte de problemen samen met onderzoekers Fabian Braeunlein en Philipp Maier, zo meldt persbureau Reuters.

Volgens de onderzoekers kunnen betalingen bij bijna alle betaalautomaten in Duitsland worden gekaapt. Nohl stelt dat de kwetsbaarheden veel lastiger zijn te verhelpen, omdat het hier niet om een fout gaat. De betaalautomaten werken precies op de manier zoals ze geprogrammeerd zijn om te werken. De kwetsbaarheden worden door oude standaarden veroorzaakt voor het lezen van magneetstrippen en het uitwisselen van betaalgegevens over het internet.

De Duitse Vereniging van Spaarbanken stelt dat de aanvallen van Nohl alleen in theorie mogelijk zijn. De Duitse Vereniging van Elektronische Betalingsverwerkers zegt de dreigingen serieus te nemen en adviseert de makers van betaalautomaten om updates uit te rollen die de aanvallen moeten voorkomen. Zelf adviseert de onderzoeker om kwetsbare betaalautomaten tijdelijk uit te schakelen. Het kan echter maanden duren voordat alle naar schatting 500.000 kwetsbare automaten zijn geüpdatet.