南非银行“内鬼”偷走主密钥,后将更换1200万张客户卡,损失惨重
邮政银行表示,员工在其数据中心打印了主密钥,然后用它窃取了320万美元。
南非邮政银行(Postbank)是南非邮局的银行部门,该公司在欺诈交易中损失了320多万美元,现在必须为客户更换1200多万张卡,原因是员工打印并偷走了主密钥。
报道这一事件的当地新闻媒体《南非星期日泰晤士报》(The Sunday Times of South Africa)称,事件发生在2018年12月,当时有人在比勒陀利亚的旧数据中心把银行的主钥匙印在一张纸上。
该新闻刊物援引他们从该银行获得的内部安全审计结果称,银行怀疑是员工违规。
主密钥是一个36位代码(加密密钥),它的持有者可以使用它来解密银行的操作,甚至访问和修改银行系统以及用于生成客户卡的密钥。
内部报告称,在2019年3月至12月期间,“内鬼”员工利用主钥匙进入账户,进行了超过25000起欺诈性交易从客户余额中窃取了超过320万美元(5600万兰特)。
发现违规行为后,Postbank现在必须用主钥匙替换所有已经生成的客户卡,银行怀疑这项操作将花费超过10亿兰特(约5800万美元)。
这包括更换正常的支付卡,还包括接受政府社会福利的卡。《星期日泰晤士报》称,大约有800万到1000万张卡是用于领取社会补助的,而这些卡也是大多数欺诈行为发生的地方。
研究人员称:内部安全程序不当
银行安全(BankSecurity)背后的安全研究员,一个致力于银行欺诈的Twitter账户,在接受ZDNet采访时说:
“据该报告显示,似乎“内鬼”员工已经获得了主机主密钥(Host Master Key 简称HMK)或更低级别的密钥。”
“HMK是保护所有密钥的关键,在大型机架构中,可以访问ATM机的个人识别码、家庭银行访问代码、客户数据、信用卡等。”
对此类数据的访问取决于体系结构,服务器和数据库配置。如上所述,可以访问不同内部应用程序和存储客户数据的数据库的大型机或服务器使用此密钥。
研究人员说:
“与第三方系统交换此密钥和所有其他较低级别的密钥的方式具有不同的实现方式,因银行而异。”
“通常,人员和密钥都会定期更改,以避免这种类型的欺诈或问题,例如PostBank现在的情况。据我所知,这些密钥的管理是由各个银行来完成的,管理周期性变化和安全性的内部流程是由各个银行来决定的,并不是由特定的规定来决定的。”
银行主密钥是银行最敏感的秘密,因此受到相应的保护,很少遭到泄露,更不用说完全被盗了。
银行安全部门告诉ZDNet:
“一般情况下,根据最佳实践,HMK密钥是在专用服务器上管理的(使用专用的操作系统),并且高度保护它不受物理访问的影响(多个同时badge访问和受限制/隔离的数据中心)。”
“此外,仅一个人无法访问整个密钥,秘钥是被分散在各个可靠的管理人员或贵宾之间的,只有在每个人都损坏的情况下才能重建。”
记者未能联系到Postbank请其发表评论。
2020年2月,另一家南非银行莱利银行(Nedbank)也报告了安全漏洞。该银行表示,黑客侵入了一家第三方服务提供商,并窃取了170多万名客户的信息。
*本文出自SCA安全通信联盟,转载请注明出处。
南非银行“内鬼”偷走主密钥,后将更换1200万张客户卡,损失惨重相关推荐
- 银行内鬼程序员曝光:服务器植病毒,ATM取款717万,账户余额还不变
雷刚 郭一璞 发自 ATM机前 量子位 报道 | 公众号 QbitAI 流氓懂技术,谁也挡不住. 不知道你是否有过这样大胆的想法:自己的银行账户,每天取款,但余额永无穷尽. 现在,有个程序员实现了. ...
- 爬虫bing的图片,近千张,下载后自动更换为windows壁纸
爬虫bing的图片,下载后自动更换为windows壁纸 由于百度的广告太多了,就用了一段时间bing.com搜索,发现每次打开背景大图都很漂亮,而且每次切换,于是就想把它下载下来,作为桌面背景,也是很 ...
- **农商手机银行app更新代码后访问速度非常慢
问题描述: **农商手机银行app更新代码后访问速度非常慢,几乎每个请求都非常的慢. 解决思路: 由于是远程支持解决,第一时间要了最近更新上去的代码,代码进行了review, 只是一些简单的业务代码更 ...
- 银行计算机系统考试成绩,银行从业资格考试后电脑得分,是考试成绩吗?
2017年下半年银行从业资格考试顺利于10月28日.29日开考.那么重要的问题来了,银行从业资格考试后电脑得分,是考试成绩吗?银行从业资格考试为机考,考后当场出成绩(如图所示).因此,考后电脑上的得分 ...
- 安装了vmware tools后,自动调整大小-自动适应客户机仍为灰色(终极解决方案)
安装了vmware tools后,自动调整大小-自动适应客户机仍为灰色(终极解决方案) 本文适用于:安装了vmware tools 后 "立即适应客户机 "仍为灰色,不能自适应的情 ...
- 贷后模块之催收行为综合评分卡
人工催收作业绩效管理中,存在着一张卡叫Balance Score,在贷后我们叫催收行为综合评分卡. 一.什么是Balance Score? 这张评分卡的诞生背景是: ①贷后管理主要复盖两个部分:催收绩 ...
- 解决cuid卡写数据后,无法读取。以及救卡方法
最近入手了几张cuid卡,用来复制校园卡的.但在写数据的时候发现的一系列问题.下面说一下我的解决方法.链接在评论区. 设备:pn532,手机 软件:上位机,M1T,以及手机上的mifare class ...
- “杀人”套路贷:借1万,3个月后要还60万
黑客技术 点击右侧关注,了解黑客的世界! Java开发进阶 点击右侧关注,掌握进阶之路! Python开发 点击右侧关注,探讨技术话题! 作者 | 唐亚华 编辑 | 魏佳 本文转载自燃财经(ID:ra ...
- 概率论与计算机系统结构为同一天,计算机体系结构后习题原版答案_张晨曦著.doc...
计算机体系结构后习题原版答案_张晨曦著 2第1章 计算机系统结构的基本概念 1.1 解释下列术语把计算机系统按功能划分成多级层次结构翻译解释某部件获得的系统性能,受限于该部件.局部性原理:程序执行时所 ...
最新文章
- Sparse low rank approximation
- “超级课程表”余佳文:初生牛犊不怕虎
- 一个TreeView 样式表
- python爬虫urllib文档_11.【文本】Urllib(下) - 零基础学习Python爬虫系列
- 【转载】别了,摩托罗拉(十六):平台之乱
- 投后管理岗面试_2020天津水务招79人,管理岗+操作岗,专科起报
- c语言综合知识,软件设计师教程综合知识集锦之C语言编程风格
- BPM调用有webservice接口的.NET插件
- python使用turtle步骤_Python+turtle交互式绘图:可以用鼠标拖动的小海龟
- DrawIndexedPrimitiveUP这个函数
- java 复制mysql某张表_java实现mysql数据库从一张表插入数据到另一张表
- dell 7447加装SSD
- Social Media附加价值开发的四大模式
- java 动态属性_Java 类动态添加属性字段的操作
- TCP/IP协议详解(干货!)
- 《等一朵花开》读书感悟
- notejs 视频教程 智能社
- python中fp是什么意思_详解python实现FP-TREE进行关联规则挖掘(带有FP树显示功能)附源代码下载(3)...
- 通过实例理解Go Execution Tracer
- 218本巴菲特、芒格及段永平推荐书籍下载 (2012-03-31 22:53:28)
热门文章
- mbr+ghost装黑苹果OS X 10.13
- 指令集与微架构 扫盲
- 从互动直播到在线抓娃娃,实时视频超低延迟架构的思考与实践
- Ubuntu16.04安装搜狗拼音输入法(中文输入法)[转]
- 剑指Offer面试题:31.两个链表的第一个公共节点
- 电脑公司 GHOST WIN7 SP1 旗舰版
- python2.7运行报警告:UnicodeWarning: Unicode equal comparison failed to convert both arguments to Unicode
- [Windows] 微软错误代码
- 2019TFE计算机科学排名,2019TFE美国会计专业研究生排名前50
- 我的Python笔记02