Abhebungen mit falscher PIN

Ist das VISA Kartensystem sicher ?

Eigentlich wollte ich mit meinem Schreiben vom 29. Februar 2004 die PIN meiner VISA-Karte sicherheitshalber sperren lassen, nachdem mir 2001 über 2.000 DM von zwei VISA-Karten mit PIN Eingabe gestohlen wurden. Auf mein Schreiben mit der Bitte um Sperrung der PIN erhielt ich die Antwort, daß dies „systemtechnisch nicht möglich“ sei. Als ich weiterhin auf Sperrung der PIN bestand, bekam ich schließlich einen Anruf, in dem mir mitgeteilt wurde, ich solle 3x eine falsche PIN eingeben, dann sei diese gesperrt. Als ich dann zum Geldautomaten ging und statt der richtigen PIN „9298“ eine falsche PIN „5000“ eingab, kamen 500 € aus dem Automaten. Ich glaubte meinen Augen nicht zu trauen und dachte natürlich, daß es sich um einen einmaligen Fehler handelt. Am nächsten Tag ging ich dann nochmal mit einer Videokamera zum Automaten und filmte die nächste Abhebung mit der falschen PIN „5000“ und bekam wiederum anstandslos 500 € mit einer falschen PIN. 2200 € konnte ich insgesamt mit einer falschen PIN abheben (danach hatte ich keine Lust mehr und auch alles auf Video festgehalten). Das VISA System hat davon nichts bemerkt, d.h. es wurde keine Falscheingabe festgestellt.

Nach einiger Recherche und Austausch mit Mike Bond von der Cambridge University, fand ich heraus, daß bei den Abhebungen nicht die PIN direkt mit der im Zentralrechner gespeicherten PIN abgeglichen wird, sondern ein sogenannter „PIN Verification Value“ (PVV). Das heißt die 4-stellige PIN, die am Geldautomaten eingegeben wird, wird in einen 4-stelligen PVV umgerechnet und dieser mit dem im Zentralrechner gespeicherten PVV verglichen. Mathematisch läßt sich sehr einfach und präzise nachweisen, daß deshalb 2/3 aller Kreditkarten 2 oder mehr gültige PINs haben. WOW ! Und es geht noch weiter: 0,5% aller Kreditkarten haben sogar 5 oder mehr valide PINs. Details hierzu gibt es in diesem Dokument von Mike Bond: http://www.cl.cam.ac.uk/~mkb23/research/Enc-Rand-Comp.pdf

VISA ist trotzdem der Meinung, dass das System nicht unsicher ist. Die kartenausgebende Bank bezieht wie folgt Stellung:

„Dennoch kann es grundsätzlich vorkommen, dass eine weitere als die dem Karteninhaber kommunizierte PIN bei der Verifizierung durch VISA das gleiche mathematische Ergebnis liefert, das auch durch die Eingabe der „richtigen“ PIN erzielt worden wäre. Allerdings ist der Quotient aus der Möglichkeit einer weiteren möglichen PIN und der Chance, zufällig diese weitere PIN einzugeben, so hoch, dass dieser Umstand von der Kartenindustrie nicht als Sicherheitsrisiko eingeschätzt wird.“ 

Mir ist 2004 genau das passiert. Es ist genau der Fall eingetreten, der von der Kartenindustrie nicht als Sicherheitsrisiko eingeschätzt wird. Ich habe auf Anhieb eine „weitere mögliche PIN geraten.

Einen Artikel dazu finden Sie auch in der Welt am Sonntag unter http://www.welt.de/print-wams/article120668/Das_System_ist_loechrig_wie_ein_Sieb.html

Was meinen Sie dazu ? Brauchen Sie Material für einen Prozeß ?
Schreiben Sie mir: thomas.opel@kreditkartendiebe.de

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.