Seorang blogger menemukan bahwa data transaksi kartu kredit Number26 dapat dibaca menggunakan aplikasi Android. Sekarang jelas bahwa lebih banyak bank yang terkena dampaknya.
Laporan seperti yang dibuat oleh blogger Christian Hawkins berdampak buruk bagi startup fintech. Perusahaan-perusahaan muda ingin mendapatkan kepercayaan dari pelanggan mereka untuk membuktikan bahwa uang dan data mereka aman.
Di sisinya Blog MetaBubble Hawkins menjelaskan celah keamanan pada kartu kreditnya dari startup Berlin Number26. Menurut Hawkins, beberapa data tidak terenkripsi ditemukan di chip emas kartu tersebut. Ia mengetahuinya saat membaca chip tersebut menggunakan NFC, sebuah teknologi pembayaran untuk smartphone. Media lain mengambil cerita itu. Judul postingan blog asli menangkap tenornya: “Nomor 26 tahu apa yang Anda lakukan musim panas lalu.” Ini sesuai dengan gambarannya – startup fintech yang mengalami kebocoran data.
Adegan pembuka diuji dengan aplikasi android ini tunjukkan: Itu benar. Dibandingkan dengan kartu kredit DKB, kartu Number26 menyimpan beberapa transaksi pelanggannya – mudah ditentukan oleh siapa saja menggunakan aplikasi (lihat gambar di bawah). Untuk melakukan ini, Anda perlu memegang ponsel cerdas dengan aplikasi di dekat kartu. Data yang disimpan adalah jumlah uang yang mengalir dalam jangka waktu tertentu dan tanggal terkait. Mata uangnya juga ditampilkan. Lokasi pembelian atau detail lain tentang transaksi tidak terlihat. Hawkins menulis di blognya bahwa dia mencoba empat kartu kredit lainnya. Detail ini tidak dapat ditemukan dari orang lain.
Bukan hanya Number26 yang terkena dampaknya
Namun, hanya beberapa jam setelah laporan pertama, menjadi jelas bahwa bukan hanya Number26 yang mengalami masalah. Beginilah tampilan kartu pintar Fidor menurut pengujian blog MobiFlip juga terpengaruh. Pakar fintech dari Ratpack menemukan celah keamanan pada kartu dari ABN Ambro Bank Belanda, Postepay Italia, dan kartu Miles and More dari DKB. Para ahli mengatakan data yang disimpan juga dapat diakses dengan kartu bank tabungan GiroGo.
Number26 mengomentari masalah ini dalam sebuah pernyataan: “Ini adalah pengaturan kartu umum untuk kartu berkemampuan NFC di Jerman dan Eropa, yang tidak terbatas pada Number26. Pengaturan kartu ini adalah standar MasterCard dan merupakan praktik umum di banyak bank di Eropa. ” Fidor Bank mengacu pada pernyataan itu ketika ditanya.
“Tidak ada pertanyaan tentang standar”
Namun, para ahli di Ratpack sampai pada kesimpulan berbeda: “Tidak ada pertanyaan mengenai standar dan ini juga bukan masalah MasterCard. Standar berarti semua kartu terpengaruh dan standar EMV tidak ditentukan oleh MasterCard, tetapi oleh EMVCoAlasan kesenjangan keamanan ini adalah karena pemrograman chip tersebut, lanjut para pakar fintech. Dan itu berasal dari penerbit kartu – dalam kasus Number26, Wirecard Bank – atau perusahaan yang memproduksi kartu tersebut. Sangat mungkin bahwa bank-bank yang berbeda memiliki barang-barang yang diproduksi oleh produsen yang sama.
Perlu diketahui, meskipun data transaksinya sendiri relatif kecil maknanya, namun tetap saja itu adalah data pribadi. Penjual dapat menggunakan celah keamanan untuk mengetahui riwayat pembayaran pelanggannya. Ini juga dapat menentukan apakah seseorang baru saja bepergian ke luar negeri dan membayar di sana (dengan mata uang berbeda).
Hal yang sangat memalukan bagi startup Berlin Number26 adalah mereka yang bertanggung jawab sepertinya tidak tahu apa-apa tentang masalah ini.