Според стандартите на индустрията за картови плащания при транзакциите с кредитни карти се предполага, че PIN-овете се криптират при пренос, което теоретично ги защитава от това някой да прехване комуникацията. Проблемът обаче е, че PIN-овете трябва да преминат през различни HSM устройства на различни банкови мрежи по пътя им към банката на клиента. Тези HSM устройства са конфигурирани и обслужвани различно, някои от тях дори не директно от банките, а от техни подизпълнители. При всеки преход PIN-ът се декриптира и след това криптира обратно във вид подходящ за пренос през следващото трасе от участъка. Това (криптирането) става постредством универсален ключ, който се пази в модул или в API-то на модула (представете си нещо като уредите за управление на автомобил, ама софтуерни такива и не е автомобил... видях жираф, какво е лос знаете ли, ами изобщо не прилича на лос
). По същество измамата се състои в това да се накара HSM да ви предостави този универсален ключ, което се оказва, че не е толкова трудно поради лошата конфугурация на HSM както и на пропуски в сигурността поради огромния набор функции, заложени в устройството.
PS
Става въпрос за милиони... миналата година.
http://blog.wired.com/27bstroke6/2009/04/pins.html
:-)