南非邮政银行(Postbank)是南非邮局的银行部门,在欺诈交易中损失了320多万美元,在员工打印并窃取了万能钥匙后,现在不得不为客户更换超过1200万张卡。
爆料此事的南非当地新闻机构“星期日泰晤士报”称,该事件发生在2018年12月,当时有人在比勒陀利亚旧数据中心的一张纸上打印了该银行的万能钥匙。
新闻刊物援引他们从银行消息来源获得的内部安全审计称,银行怀疑员工是此次入侵的幕后黑手。
主密钥是一个36位的代码(加密密钥),它允许持有者解密银行的操作,甚至访问和修改银行系统。它还用于生成客户卡的密钥。
内部报告称,2019年3月至12月,流氓员工使用万能钥匙进入账户,进行了超过2.5万笔欺诈性交易,从客户余额中窃取了超过320万美元(5600万兰特)。
在发现漏洞后,邮政银行现在将不得不用万能钥匙替换所有生成的客户卡,银行怀疑这一操作将花费超过10亿兰特(约合5800万美元)。
这包括更换普通支付卡,也包括领取政府社会福利卡。“星期日泰晤士报”说,大约有800万到1000万张卡是用来领取社会补助的,这些卡是大多数欺诈操作发生的地方。
根据这份报告,似乎腐败的员工已经获得了主机主密钥(HMK)或更低级别的密钥,Bank Security背后的安全研究员在今天的一次采访中告诉ZDNet。Bank Security是一个致力于银行欺诈的Twitter账户。
研究人员告诉ZDNet,HMK是保护所有密钥的钥匙,在大型机架构中,这些密钥可以访问ATM密码、家庭银行访问码、客户数据、信用卡等。
对此类数据的访问取决于架构、服务器和数据库配置。如上所述,可以访问具有存储的客户数据的不同内部应用程序和数据库的大型机或服务器随后使用该密钥。
这位研究人员说,这个密钥和所有其他较低级别的密钥与第三方系统交换的方式有不同的实现方式,不同的银行会有所不同。
邮政银行事件是独一无二的,因为银行万能钥匙是银行最敏感的秘密,因此受到保护,很少被泄露,更不用说直接被盗了。
银行安全告诉ZDNet,一般来说,根据最佳实践,HMK密钥在专用服务器(具有专用操作系统)上管理,并受到高度保护,不会被物理访问(多个并发徽章访问和受限/独立的数据中心)。
此外,一个人不能访问整个密钥,而是在各种可靠的经理或贵宾之间分配,只有在每个人都腐败的情况下才能重建密钥。
研究人员说,通常情况下,人员和密钥会定期准确地更换,以避免这种类型的欺诈或问题,就像邮政银行的情况一样。据我所知,这些密钥的管理是留给各个银行的,而监管定期变更和安全性的内部流程是由单个银行决定的,而不是由一个明确的规定决定的。
2020年2月,另一家南非银行Nedbank也报告了安全漏洞。该银行表示,黑客入侵了一家第三方服务提供商,然后窃取了超过170万客户的信息。