Laporan seperti yang dibuat oleh blogger Christian Hawkins berdampak buruk bagi startup fintech. Perusahaan-perusahaan muda ingin mendapatkan kepercayaan dari pelanggan mereka untuk membuktikan bahwa uang dan data mereka aman.
Di blognya “Meta Gelembung” Hawkins menggambarkan celah keamanan pada kartu kreditnya dari startup hype Berlin nomor 26. Menurut Hawkins, beberapa data tidak terenkripsi ditemukan pada chip emas kartu tersebut. Ia mengetahuinya saat membaca chip tersebut menggunakan NFC, sebuah teknologi pembayaran untuk smartphone. Media lain mengambil cerita itu. Judul postingan blog asli menangkap tenor tersebut: “Nomor26 tahu apa yang Anda lakukan musim panas lalu, ini sesuai dengan gambaran – startup fintech yang mengalami kebocoran data.
Adegan pembuka diuji dengan satu Aplikasi Android tunjukkan: Itu benar. Dibandingkan dengan kartu kredit DKB, kartu Number26 menyimpan beberapa transaksi pelanggannya – mudah ditentukan oleh siapa saja menggunakan aplikasi. Untuk melakukan ini, Anda perlu memegang ponsel cerdas dengan aplikasi di dekat kartu. Data yang disimpan adalah jumlah uang yang mengalir dalam periode tertentu dan tanggal terkait. Mata uangnya juga ditampilkan. Lokasi pembelian atau detail lain tentang transaksi tidak terlihat. Hawkins menulis di blognya bahwa dia mencoba empat kartu kredit lainnya. Detail ini tidak dapat ditemukan dari orang lain.
Bukan hanya Number26 yang terkena dampaknya
Namun, hanya beberapa jam setelah laporan pertama, menjadi jelas bahwa bukan hanya Number26 yang mengalami masalah. Beginilah tampilan kartu pintar Fidor menurut pengujian blog MobiFlip juga terpengaruh. Para ahli fintech dari Paket perlengkapan menemukan celah keamanan pada kartu dari ABN Ambro Bank Belanda, Postepay Italia, dan kartu Miles and More dari DKB. Para ahli mengatakan data yang disimpan juga dapat diakses dengan kartu bank tabungan GiroGo.
Number26 mengomentari masalah ini dalam sebuah pernyataan: “Ini adalah pengaturan kartu umum untuk kartu berkemampuan NFC di Jerman dan Eropa, yang tidak terbatas pada Number26. Pengaturan kartu ini adalah standar MasterCard dan merupakan praktik umum di banyak bank di Eropa. ” Saat ditanya, Fidor Bank merujuk pada pernyataan tersebut.
“Tidak ada pertanyaan tentang standar”
Namun, para ahli di Ratpack sampai pada kesimpulan berbeda: “Tidak ada pertanyaan mengenai standar dan ini juga bukan masalah MasterCard. Standar berarti semua kartu terpengaruh dan standar EMV tidak ditentukan oleh MasterCard, tetapi oleh EMCo. Dan itu berasal dari penerbit kartu – dalam kasus Number26, Wirecard Bank – atau perusahaan yang memproduksi kartu tersebut. Sangat mungkin bahwa bank-bank yang berbeda memiliki barang-barang yang diproduksi oleh produsen yang sama.
Perlu diketahui, meskipun data transaksinya sendiri relatif kecil maknanya, namun tetap saja itu adalah data pribadi. Penjual dapat menggunakan kerentanan keamanan untuk mengetahui riwayat pembayaran pelanggannya. Ini juga dapat menentukan apakah seseorang baru saja bepergian ke luar negeri dan membayar di sana (dengan mata uang berbeda).
Hal yang sangat memalukan bagi startup Berlin Number26 adalah mereka yang bertanggung jawab tampaknya tidak tahu apa-apa tentang masalah ini.