Advertentie
In één nacht is ruim 100 miljoen dollar verplaatst met behulp van een wachtwoord. Nee, dit is niet het plot van een slechte B-film, maar een echte hack die heeft plaatsgevonden in Brazilië. Via een omgekochte medewerker hebben hackers ruim 100 miljoen dollar aan Braziliaanse real gestolen via het betalingssysteem PIX.
Hoewel de hack zelf niet zo complex was — ze hadden immers een hoofdwachtwoord verkregen van het systeem — hebben de dieven toch een aardige buit weten los te maken. PIX zegt de gemiddelde TI-lezer misschien niet zo veel, maar het is een van de grootste Braziliaanse betalingsdiensten, die met 76% marktaandeel de ruggengraat vormt van het betalingsverkeer, en wordt ook door de overheid zelf gebruikt. Het systeem ondersteunt realtime overschrijvingen, zonder kosten, 24 uur per dag. Dit wordt mogelijk gemaakt door een technische dienstverlener die kleinere banken koppelt aan de centrale bank.
De politie in São Paulo heeft afgelopen vrijdag, volgens TechXplorer, een technicus van betalingsdienstaanbieder C&M aangehouden. Deze man zou gerekruteerd zijn door hackers om inloggegevens te bemachtigen. Hiermee konden hackers in één nacht een groot aantal ongeoorloofde transacties via het PIX-netwerk uitvoeren, maar wel uitsluitend op kosten van de banken. C&M heeft laten weten dat het geen beveiligingslek betrof, maar dat de fout kwam door de menselijke factor, oftewel social engineering. Uiteraard kun je je wel afvragen hoe het mogelijk is dat met één login honderden miljoenen aan valse overschrijvingen konden worden gedaan.
De Braziliaanse centrale bank reageerde door tijdelijk delen van de C&M-infrastructuur te blokkeren. Onderzoekers vermoeden dat er nog vier andere mensen betrokken zijn bij de hack. De bank heeft daarnaast 270 miljoen aan activa moeten bevriezen, wat neerkomt op 42,5 miljoen euro. De totale schade zal vermoedelijk veel hoger uitvallen. Deze hack toont aan dat zelfs zeer beschikbare en door de overheid gesteunde betalingssystemen kwetsbaar zijn als ze vertrouwen op gecentraliseerde interfaces en vertrouwde medewerkers.
Toch maar bitcoin?