Южноафриканский Postbank (банковское подразделение почты ЮАР) лишился более 3 200 000 долларов из-за инсайдерской атаки. Теперь финансовое учреждение будет вынуждено заменить более 12 млн карт, так как его сотрудники похитили и распечатали мастер-ключ в одном из центров обработки данных, а затем использовали его, чтобы украсть деньги.
Мастер-ключ представляет собой 36-значный код (ключ шифрования). Он позволяет расшифровывать банковские операции, а также получать доступ и вносить изменения в банковские системы. Кроме того, именно мастер-ключ используется для генерации ключей для карт клиентов.
По информации издания Sunday Times of South Africa, инцидент произошел еще в декабре 2018 года. Именно тогда неизвестный распечатал мастер-ключ на обычном листе бумаги в старом дата-центре, расположенном в городе Претория. Ссылаясь на результаты внутреннего аудита безопасности, издание отмечает, что представители Postbank полагают, что за случившимся стоят их собственные сотрудники.
Так, внутренний отчет гласит, что в период с марта по декабрь 2019 года сотрудники-нарушители использовали мастер-ключ для доступа к учетным записям клиентов и в общей сложности совершили более 25 000 мошеннических транзакций, похитив таким образом более 3,2 млн долларов США (56 млн рэндов).
Теперь, после обнаружения взлома, Postbank будет вынужден перевыпустить все карты клиентов, когда-либо сгенерированные с помощью того самого мастер-ключа. В банке полагают, что это обойдется в более чем один миллиард рэндов (примерно 58 млн долларов). Заменить придется как обычные платежные карты, так и социальные карты для получения государственных социальных пособий. Журналисты пишут, что около 8-9 млн карт предназначены для получения социальных пособий, и именно с ними была связана большая часть мошеннических операций.
Издание ZDNet попросило ИБ-специалиста, который ведет Twitter-аккаунт Bank Security, посвященный банковской безопасности, прокомментировать этот случай. Тот объяснил, что Host Master Key (HMK) представляет собой ключ, защищающий все прочие ключи, которые в архитектуре мэйнфрейма могут использоваться для доступа к PIN-кодами для банкоматов, кодам доступа к банкингу, данным клиентов, кредитным картам и так далее.
Также эксперт объясняет, что инцидент, произошедший в Postbank, во многом уникален, так как мастер-ключи любого банка — это один из наиболее охраняемых секретов. Такие данные крайне редко подвергаются риску, не говоря уже о кражах.
«Как правило, в соответствии с современными практиками, ключ HMK располагается на выделенных серверах (с выделенной ОС) и он надежно защищен от физического доступа: требуется одновременный доступ с использованием нескольких электронных карт, к тому же речь идет об отдельном центре обработки данных. Более того, обычно один человек попросту не имеет доступа к полному ключу, так как тот разделен между надежными менеджерами или представителями руководства, и полностью собрать ключ возможно лишь в том случае, если все они коррумпированы.
Обычно и люди и ключ периодически меняются. Именно ради того, чтобы избежать подобных атак и проблем, какие мы наблюдаем в случае с PostBank. Насколько мне известно, управление такими ключами оставлено на усмотрение самих банков, и внутренние процессы, регулирующие периодичность изменений и другие аспекты безопасности, определяются самими банками, а не определенным каким-то регламентом».