RBS WorldPay Attack Investigation - PCI DSS Blog
В обвинението се казва, че нападателите са били в състояние да фалшифицират карти и да научат ПИН-та, за да теглят пари в брой от банкомат. Както знаете, ПИН-кодовете, като най-важната информация, се съхраняват криптирани. Обвинението показва, че нападателите са успели да реверсират алгоритъма за изчисляване на ПИН. Бих искал да обърна внимание на това, защото те са намерили начин да дешифрират съхранената криптирана стойност на ПИН. Ако е така, това показва огромна уязвимост в методите за съхраняване на ПИН кодове от банките. Има много алгоритми за съхранение на ПИН, а някои от по-старите са доста уязвими. Например в атаките на таблицата за децимализация за пробиване на ПИН изследователите Майк Бонд и Пьотр Зелински описват атака срещу алгоритъм, разработен по време на ерата на IBM 3624 ATM и все още използван от много устройства днес. Точно както при съхранението на хешове на пароли в Windows OS, обратната съвместимост с остарели методи за криптиране може да доведе до увеличаване на броя на уязвимостите (говорим за LM и NTLM хешове - бел. Ред.). Надявам се, че ФБР и Тайните служби са споделили подробностите за новата атака с всички американски банки.