Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 12/2/2010
Forbrydere kan misbruge betalingskort med chip til at købe varer, uden at forbryderen kender pinkoden. Det skyldes en fejl i den protokol, der kommunikerer med sikkerhedssystemet.Det skriver fire sikkerhedsforskere fra det britiske Cambridge-universitet i artiklen "Chip and PIN is Broken." De har undersøgt sikkerheden i EMV-protokollen (Europay, MasterCard, Visa), som anvendes i mange lande til at sikre brugen af chipbaserede betalingskort.
Forskerne har konstrueret et elektronisk kredsløb, der lægges mellem betalingskortet og den terminal, det sættes ind i. Kortet gør det muligt at godkende betalinger på vilkårlige beløb uden at kende den rigtige pinkode. På kvitteringen står der, at pinkoden er godkendt.
Metoden kan benyttes på to måder. En forbryder kan aftale med en forretningsindehaver, at de deler udbyttet fra svindlen. Eller forbryderen kan bruge det elektroniske kredsløb sammen med det stjålne kort, uden at ekspedienten opdager det.
Forskernes forsøgsopstilling fylder noget, men den kan gøres mindre, skriver de.
Hvis metoden allerede er kendt af forbrydere, kan det forklare de tilfælde, hvor forbrugere har fået misbrugt stjålne chipkort, selvom de ikke har ladt tyven se deres pinkode.
Forfatterne mener, at deres forskning beviser, at EMV-protokollen er fejlbehæftet. De anbefaler, at EMV-konsortiet går i gang med at omdesigne protokollen.