Egy hacker rést talált a Bubin, a T-Systems cáfol

2014.07.23. 15:38

Múlt péntek óta pörög a Facebookon az a bejegyzés, amiben egy magát „etikus hackerként” beállító férfi azt írja: „Bankautomata tolvajok új, viruló paradicsoma a Bubi hálózat.”

A poszt írója arra hivatkozik, hogy látott egy szétszerelt Bubi-terminált, amelyen a következőket vette észre:

Gyakorlatilag az Ethernet vonal könnyedén hozzáférhető, a terminál biztonsági védelme erősen zérus biztonságtechnikailag. Pontosan látható a bankkártyaolvasó egység gyártója, így bárki szabadon vásárolhat ugyanilyet magának otthonra kísérletezni, és ha már jól kivesézte az összes gyenge pontját, és tökéletesen leelemezte a kommunikációs protokolt, igen nagy hatékonysággal tud a rendszerbe behatolni, amit a mit sem sejtő felhasználó (pórnép) nem fog észrevenni, legfeljebb fél év múlva, mikor randomszerűen elkezdik csapolni a bankkártyákat, tömegesen.

„Kizártnak tartom, hogy ezt a biztonsági rést a fejlesztők nem látták meg” – teszi hozzá a férfi, akinek posztját azóta a VEKE és a Járókelő.hu is átvette, de a Blikk is írt róla.

A T-Systems kedden közleményt adott ki, amelyben cáfolják az álláspontjuk szerint „téves és szakmai alapot nélkülöző állításokat”, szerintük a MOL-Bubi termináljainak semmi olyan hibája nincs, ami veszélyeztetné a bankkártyaadatok biztonságát. Mint írják:

A dokkoló-állomásokba szerelt POS-terminálok (VeriFone Artema Modular) közel tíz éve vannak forgalomban és világszerte több mint százezer darabot adtak el belőlük. Minden hatályos nemzetközi kártyatársasági és bankbiztonsági előírásnak megfelelnek és a rendelkezésre álló információk alapján eddig semmilyen visszaélés nem történt ezekkel az eszközökkel.

Magyarországon az elmúlt 5-6 évben közel 500 darab Artema Modular POS beüzemelésére került sor, és eddig semmilyen visszaélésről vagy akár visszaélési kísérletről nincs tudomásunk az ilyen típusú terminálokkal kapcsolatban.

A közleményből az is kiderül: az, hogy a terminált a VeriFone gyártja, kívülről is látszik, ezért a sokat idézett posztot író férfi semmilyen plusz információhoz nem jutott azáltal, hogy szétszerelve látta. Ha pedig valaki hozzájutna egy ilyen terminálhoz, és maga kezdené el szétszerelni, azzal sem jutna sokra, mert „különböző érzékelők hatására az eszköz bizonyos funkciókat letilt, és a kulcsok egy része automatikusan törlődik, megakadályozva ezzel az esetleges visszaéléseket” – írja a T-Systems.

A biztonságot a cég szerint tovább szavatolja, hogy a kártyaolvasó PCI PED, EMV Level 1 és Level 2 minősítéssel, valamint a szükséges Visa, MasterCard és OTP Bank hitelesítéssel is rendelkezik, az adatokat pedig asszimetrikus SSL kulcsokkal titkosított TCP/IP kapcsolaton keresztül küldik. Egyszóval szerintük biztonságos.

A bankkártyacsalók legújabb fogásairól épp a minap cikkeztünk, írásunkat erre a linkre kattintva olvashatja.