Creditcars van VISA zijn binnen zes seconden te hacken met een nieuwe techniek. Door via verschillende websites heel vaak creditcardnummers en -codes te gokken konden Britse informatici betaalinformatie achterhalen van duizenden kaarten.

De onderzoekers van de Britse Newcastle University legden dit beveiligingslek bloot, zo schreven ze in het computertijdschrift IEEE Security & Privacy. Hun onderzoek laat zien hoe kwetsbaar creditcards van VISA zijn.

Dat dat alleen geldt voor de creditcards van Visa komt omdat die niet centraal controleert hoeveel pogingen iemand doet om zijn of haar creditcardgegevens in te vullen. Daardoor kan een hacker via duizenden verschillende websites gegevens invullen, net zo lang totdat de juiste combinatie wordt gevonden.


Duizenden websites

Dat proces is te automatiseren en een computer kan heel snel verschillende nummers invullen. Omdat de eerste zes getallen van een creditcardnummer vaste waarden zijn, afhankelijk van bank en kaarttype, hoeven criminelen alleen nog de overige tien getallen, de vervaldatum en de driecijferige beveiligingscode te achterhalen. Dat bleek binnen enkele seconden te kunnen, als het maar via genoeg websites is geprobeerd.

Dit gat in de beveiliging is niet de schuld van webshops. Die zorgen er vaak wel voor dat er een beperkt aantal pogingen mag worden gedaan. Hackers kunnen, als dat maximum is behaald, vervolgens door naar een volgende webshop om verder te gokken.

Bij bijvoorbeeld Mastercard, een ander groot creditcardbedrijf, is deze vorm van hacken niet mogelijk. Dit bedrijf houdt in het centrale netwerk bij hoeveel pogingen iemand doet om een Mastercard te valideren. Na tien keer blokkeert het bedrijf de toegang voor de hacker - zelfs als die zich probeert te verstoppen door gebruik te maken van proxyservers, waardoor het lijkt alsof de pogingen van verschillende plekken komen.


Opletten

De onderzoekers raden iedereen aan om zijn creditcardbetalingen in de gaten te houden. Dat is sowieso een goed advies, want creditcardfraude vindt vaker plaats, en niet alleen via deze nieuwe methode.

Beeld: Petr Kratochvil