郵政銀行表示,員工在其數據中心打印了主密鑰,然後用它竊取了320萬美元。
南非郵政銀行(Postbank)是南非郵局的銀行部門,該公司在欺詐交易中損失了320多萬美元,現在必須爲客戶更換1200多萬張卡,原因是員工打印並偷走了主密鑰。
報道這一事件的當地新聞媒體《南非星期日泰晤士報》(The Sunday Times of South Africa)稱,事件發生在2018年12月,當時有人在比勒陀利亞的舊數據中心把銀行的主鑰匙印在一張紙上。
該新聞刊物援引他們從該銀行獲得的內部安全審計結果稱,銀行懷疑是員工違規。
主密鑰是一個36位代碼(加密密鑰),它的持有者可以使用它來解密銀行的操作,甚至訪問和修改銀行系統以及用於生成客戶卡的密鑰。
內部報告稱,在2019年3月至12月期間,“內鬼”員工利用主鑰匙進入賬戶,進行了超過25000起欺詐性交易從客戶餘額中竊取了超過320萬美元(5600萬蘭特)。
發現違規行爲後,Postbank現在必須用主鑰匙替換所有已經生成的客戶卡,銀行懷疑這項操作將花費超過10億蘭特(約5800萬美元)。
這包括更換正常的支付卡,還包括接受政府社會福利的卡。《星期日泰晤士報》稱,大約有800萬到1000萬張卡是用於領取社會補助的,而這些卡也是大多數欺詐行爲發生的地方。
研究人員稱:內部安全程序不當
銀行安全(BankSecurity)背後的安全研究員,一個致力於銀行欺詐的Twitter賬戶,在接受ZDNet採訪時說:
“據該報告顯示,似乎“內鬼”員工已經獲得了主機主密鑰(Host Master Key 簡稱HMK)或更低級別的密鑰。”
“HMK是保護所有密鑰的關鍵,在大型機架構中,可以訪問ATM機的個人識別碼、家庭銀行訪問代碼、客戶數據、信用卡等。”
對此類數據的訪問取決於體系結構,服務器和數據庫配置。如上所述,可以訪問不同內部應用程序和存儲客戶數據的數據庫的大型機或服務器使用此密鑰。
研究人員說:
“與第三方系統交換此密鑰和所有其他較低級別的密鑰的方式具有不同的實現方式,因銀行而異。”
“通常,人員和密鑰都會定期更改,以避免這種類型的欺詐或問題,例如PostBank現在的情況。據我所知,這些密鑰的管理是由各個銀行來完成的,管理週期性變化和安全性的內部流程是由各個銀行來決定的,並不是由特定的規定來決定的。”
銀行主密鑰是銀行最敏感的祕密,因此受到相應的保護,很少遭到泄露,更不用說完全被盜了。
銀行安全部門告訴ZDNet:
“一般情況下,根據最佳實踐,HMK密鑰是在專用服務器上管理的(使用專用的操作系統),並且高度保護它不受物理訪問的影響(多個同時badge訪問和受限制/隔離的數據中心)。”
“此外,僅一個人無法訪問整個密鑰,祕鑰是被分散在各個可靠的管理人員或貴賓之間的,只有在每個人都損壞的情況下才能重建。”
記者未能聯繫到Postbank請其發表評論。
2020年2月,另一家南非銀行萊利銀行(Nedbank)也報告了安全漏洞。該銀行表示,黑客侵入了一家第三方服務提供商,並竊取了170多萬名客戶的信息。
*本文出自SCA安全通信聯盟,轉載請註明出處。