En del af de udenlandske betalingskort med chip, der bliver udstedt i Danmark, er i teorien sårbare overfor et nyt angreb mod sikkerheden, som engelske forskere netop har offentliggjort, oplyser PBS til Ingeniøren. Angrebet gør det muligt at benytte visse chipkort med en vilkårlig pinkode.

»Langt størstedelen af kort udstedt i Danmark vil ikke kunne rammes af angrebet. Men der er enkelte kort - heriblandt nogle Mastercard - der i teorien er sårbare,« siger pressechef i PBS Søren Winge, som har haft lejlighed til at undersøge sagen nærmere.

Søren Winge kan dog ikke give et konkret bud på, hvor mange kort, der er tale om, og han ønsker heller ikke at oplyse, hvilke specifikke kort der kunne være sårbare. Han understreger dog, at det er PBS' vurdering, at angrebet under alle omstændigheder er af mere teoretisk end praktisk karakter.

»Efter vores vurdering er der ikke tale om nogen reel sikkerhedsrisiko. Forskerne har vist noget, der teoretisk kan lade sig gøre, men der er en række forudsætninger, der skal være tilstede, for at det kan misbruges i praksis,« siger han.

Søren Winge nævner, at dels skal det tekniske og omfattende setup, der ligger til grund for angrebet, bygges, og så skal det bringes i nærheden af en betalingsterminal, uden det vækker mistanke. (Se en demonstration af løsningen ved at følge linket under artiklen)

»Det kan måske godt lade sig gøre. Men det kræver også, at du fysisk har et stjålet kort i din besiddelse, og som endnu ikke er spærret. Endeligt vil det også kræve, at pinkoden bliver valideret i terminalen,« siger Søren Winge.

Netop punktet med at pinkoden skal valideres i terminalen op mod chippen i kortet og ikke hos en central server er afgørende i forhold til, hvorfor PBS ikke vurderer, at sikkerheden i eksempelvis Dankortet skulle være truet.

Kortets pinkode bliver som udgangspunkt altid valideret op mod en central server, og det samme er tilfældet for hovedparten af alle de betalingskort, der udstedes i Danmark, siger Søren Winge.

Og hvis ikke terminalen tillader, at pinkoden bliver valideret op mod en central server, men i stedet op mod chippen i kortet – som det engelske angreb baserer sig på – så kan det kun lade sig gøre at autentificere via underskrift og ikke pin.

I sidste ende hæfter Søren Winge sig ved, at der ikke har været eksempler på, at den nye type angreb har været anvendt i praksis, og at PBS derfor heller ikke har planer om at reagere i forhold til de engelske forskeres resultater.

»Vores teknikere følger denne her sag tæt. Men forskerne i England foretager sig som udgangspunkt ikke noget, der giver anledning til at ryste på hånden - det er fortsat en laboratorieløsning og ikke noget, der anvendes i praksis,« siger han.

Endeligt påpeger Søren Winge, at sikkerheden i forhold til selve chippen på kortene er intakt.

»Det er vigtigt at understrege, at det ikke er selve sikkerheden i forhold til chippen, der har en svaghed. Det er derimod kommunikationen mellem kortet og terminalen. Chippen kan stadig ikke angribes og eksempelvis kopieres,« siger Søren Winge.