Postbank vervangt 12 miljoen bankpassen nadat medewerkers master key stelen
De Zuid-Afrikaanse Postbank heeft besloten om 12 miljoen bankpassen te vervangen nadat medewerkers de master key wisten te stelen. Het gaat om een 36-cijferige code waarmee het mogelijk is om rekeningen over te nemen, saldo's aan te passen en transacties te manipuleren, zo meldt de Sunday Times op basis van bankrapporten. Ook wordt de master key gebruikt voor het genereren van sleutels voor de bankpassen van klanten en de passen waarmee uitkeringsgerechtigden hun uitkering kunnen opnemen.
Volgens de krant was de diefstal mogelijk doordat de master key bij een oud datacenter van de bank werd geprint, waarna die door medewerkers werd gestolen. Vervolgens zou er met de master key omgerekend 2,9 miljoen euro zijn buitgemaakt van de rekeningen van mensen die een uitkering ontvangen. Via 25.000 frauduleuze transacties die van maart 2018 tot en met december 2019 plaatsvonden kon het geld worden gestolen, zo blijkt uit de bankrapporten die de Sunday Times in handen kreeg.
Vanwege het incident moet de Postbank nu alle gecompromitteerde passen vervangen waarvan de sleutel via de gestolen master key is gegenereerd. De kosten van de vervangingsoperatie worden geschat op omgerekend ruim 51 miljoen euro.
Een beveiligingsonderzoeker laat tegenover ZDNet weten dat corrupte medewerkers waarschijnlijk toegang tot de Host Master Key (HMK) hebben gekregen. "De HMK is de key die alle keys beschermt, waarmee in een mainframe-architectuur de pincodes van betaalpassen zijn te benaderen, toegangscodes voor internetbankieren, klantgegevens, creditcards."
De HMK zou daarnaast tegen fysieke toegang moeten zijn beschermd, waarbij niet één persoon toegang heeft, maar dit is verdeeld over meerdere betrouwbare personen. De key zou dan ook alleen kunnen worden gestolen wanneer alle medewerkers waarover de toegang is verdeeld corrupt zijn. Om dergelijke fraude te voorkomen worden zowel de key als de mensen die er toegang toe hebben periodiek vervangen, aldus de onderzoeker.
"Ons sal jou nooit vergeet nie".
#sockpuppet
Het aantal bits doet mij vermoeden dat ze nog met 3DES werken, in plaats van met AES-256. De effectieve lengte van 3DES is 112 bits en je kan de key makkelijk opdelen in drie stukken. Ik mag hopen dat ze dat niet doen.
Het aantal bits doet mij vermoeden dat ze nog met 3DES werken, in plaats van met AES-256. De effectieve lengte van 3DES is 112 bits en je kan de key makkelijk opdelen in drie stukken. Ik mag hopen dat ze dat niet doen.
Dat geneuzel over nog meer crypto bitten is geneuzel - ergens boven de 80..100 bit zit je gewoon veilig als je praat over brute force aanvallen.
Wat er mis ging bij deze bank was precies zo misgegaan met AES-256 .
Om de een of andere reden trekt het kleinste probleem (crypto key lengtes en crypto algorithmes) qua security onevenredig veel aandacht .
Wat helaas nog niet duidelijk is uit de berichtgeving : wat _doe_ je dan verder als crimineel, om van deze 'masterkey' naar 'onbeperkt geld' te komen ?
We lezen dat men 25.000 frauduleuze transacties over 18 maanden kon plegen . Blijkbaar dus zonder dat daar voldoende op geacteerd werd . *Dat* is een probleem.
Echte waterdichte security bestaat dus niet en we moeten er méér en méér mee rekening houden dat alles wat beveiligd
LIJKT te zijn vroeg of laat gestolen kan worden....
Het NIST noemt TripleDES 'depreciated' sinds 2017. De enige reden om het nog te gebruiken is compatibiliteit met oude standaarden.
https://csrc.nist.gov/news/2017/update-to-current-use-and-deprecation-of-tdea
Dat bevreemde me ook. Als er zoveel rekeningen met kleine bedragen geplunderd werden, moeten er toch veel klachten gekomen zijn. Er werd alleen geld afgeboekt bij mensen met uitkeringen. Blijkbaar wisten ze precies bij welke rekeningen er geen klachten zouden komen.
Dus geen grote bedragen bij een paar rekeningen wegsluizen en dan direct tegen de lamp lopen, maar steeds kleine bedragen die niet opvallen. Waarschijnlijk steeds een bekende omschrijving in het afschrift, maar met een ander rekeningnummer waar het naar toe ging.
Echte waterdichte security bestaat dus niet en we moeten er méér en méér mee rekening houden dat alles wat beveiligd
LIJKT te zijn vroeg of laat gestolen kan worden....
Dat bevreemde me ook. Als er zoveel rekeningen met kleine bedragen geplunderd werden, moeten er toch veel klachten gekomen zijn. Er werd alleen geld afgeboekt bij mensen met uitkeringen. Blijkbaar wisten ze precies bij welke rekeningen er geen klachten zouden komen.
Dus geen grote bedragen bij een paar rekeningen wegsluizen en dan direct tegen de lamp lopen, maar steeds kleine bedragen die niet opvallen. Waarschijnlijk steeds een bekende omschrijving in het afschrift, maar met een ander rekeningnummer waar het naar toe ging.
Er is heel weinig informatie om echt op te speculeren hoe het verlopen is, maar ik vind dit een indicatie van veel erger systematisch falen dan het lekken van die masterkey .
Dat die masterkey zichtbaar werd is uiteindelijk een kwestie van één of misschien enkele personen die 'fout' zijn.
"Vier ogen" in security zegt uiteindelijk niet _zo_ veel : het is een statement dat je de mogelijkheid van één kwaadwillende persoon niet uitsluit, maar de kans op twee 'nihil' (of 'acceptabel klein' ) acht.
Wel, _zo_ zeldzaam zijn twee foute/corrupte/domme mensen ook weer niet - of één foute en één junior hulpje dat zich laat foppen.
Uiteindelijk is de _kern_ business van een bank geld transacties doen - en zo foutloos mogelijk.
Dat er zo lang zo veel frauduleus gedaan konden worden zegt m.i. dat alle controle/accounting/processen gefaald hebben.
Als de transacties zichtbaar waren voor de slachtoffer-klanten moeten daar zichtbaar 'meer dan normaal' geklaagd hebben.
Je gaat dan eerder vermoeden dat er ook mensen corrupt waren op de plek die daarop moesten reageren .
Misschien was er een beleid om 'kleine missers' zonder veel vragen aan de klant vanuit de bank te vergoeden - maar dan nog moeten er mensen zitten die zien dat dat abnormaal hard gaat.
Het NIST noemt TripleDES 'depreciated' sinds 2017. De enige reden om het nog te gebruiken is compatibiliteit met oude standaarden.
https://csrc.nist.gov/news/2017/update-to-current-use-and-deprecation-of-tdea
Niet depreciated maar deprecated. Maar je hebt gelijk hoor. Zeker voor een master key zou men zoiets nooit mogen gebruiken.
Voor de fun: Je hebt in Zuid Afrika 57 miljoen mensen, waarvan 25 gebruik maken van de Postbank
Hoe stel jij een keyrollover voor?
Ga je direct 25 Miljoen bankpassen vernieuwen of doe je dat in stappen? en binnen hoeveel jaar wens je klaar te zijn?
Voor de fun: Je hebt in Zuid Afrika 57 miljoen mensen, waarvan 25 gebruik maken van de Postbank
Hoe stel jij een keyrollover voor?
Ga je direct 25 Miljoen bankpassen vernieuwen of doe je dat in stappen? en binnen hoeveel jaar wens je klaar te zijn?
Oh? Dus omdat het moeilijk is wil je dat men een onveilige oplossing gewoon blijft gebruiken? Die om te beginnen al nooit gebruikt had mogen worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
