Foto: ANP
Onderzoekers van de Universiteit van Cambridge ontdekten het lek, en beschrijven hun bevindingen in een paper.
Door het lek zou het klonen van bankpassen, het zogenaamde skimmen, erg eenvoudig zijn. Gekopieerde passen zouden door banken niet van echt te onderscheiden zijn. De onderzoekers hebben het lek middels praktijkonderzoek aangetoond en bewezen.
Volgens de onderzoekers heeft de huidige beveiliging met EMV-chip twee problemen. Ten eerste zou er voor elke pas een unieke en bovendien willekeurige authenticatiecode gegenereerd moeten worden.
Het is daarbij vooral belangrijk dat de code willekeurig is, zodat knoeien met de code wordt uitgesloten. Nu blijken de toegewezen codes niet willekeurig, wat de beveiliging gebrekkig maakt.
Communicatie
Het tweede probleem zit volgens de onderzoekers in de communicatie tussen betaalautomaat en bank. Daar kan ongemerkt mee worden geknoeid door bijvoorbeeld een winkeleigenaar.
Die kan vervolgens op zijn gemak een bankpas klonen, inclusief de niet-willekeurig toegewezen authenticatiecodes. Dat levert een gekloonde pas op die door de bank niet van echt te onderscheiden is.
De Britse onderzoekers schrijven in de paper dat ze bij banken met hun zorgen niet terecht konden. De EMV-chip is de meestgebruikte beveiliging op pinpassen in Europa, waar het de magneetstrip vervangen heeft.