邮政银行表示，员工在其数据中心打印了主密钥，然后用它窃取了320万美元。

南非邮政银行(Postbank)是南非邮局的银行部门，该公司在欺诈交易中损失了320多万美元，现在必须为客户更换1200多万张卡，原因是员工打印并偷走了主密钥。

报道这一事件的当地新闻媒体《南非星期日泰晤士报》(The Sunday Times of South Africa)称，事件发生在2018年12月，当时有人在比勒陀利亚的旧数据中心把银行的主钥匙印在一张纸上。

该新闻刊物援引他们从该银行获得的内部安全审计结果称，银行怀疑是员工违规。

主密钥是一个36位代码（加密密钥），它的持有者可以使用它来解密银行的操作，甚至访问和修改银行系统以及用于生成客户卡的密钥。

内部报告称，在2019年3月至12月期间，“内鬼”员工利用主钥匙进入账户，进行了超过25000起欺诈性交易从客户余额中窃取了超过320万美元(5600万兰特)。

发现违规行为后，Postbank现在必须用主钥匙替换所有已经生成的客户卡，银行怀疑这项操作将花费超过10亿兰特(约5800万美元)。

这包括更换正常的支付卡，还包括接受政府社会福利的卡。《星期日泰晤士报》称，大约有800万到1000万张卡是用于领取社会补助的，而这些卡也是大多数欺诈行为发生的地方。

研究人员称：内部安全程序不当

银行安全（BankSecurity）背后的安全研究员，一个致力于银行欺诈的Twitter账户，在接受ZDNet采访时说：

“据该报告显示，似乎“内鬼”员工已经获得了主机主密钥(Host Master Key 简称HMK)或更低级别的密钥。”

“HMK是保护所有密钥的关键，在大型机架构中，可以访问ATM机的个人识别码、家庭银行访问代码、客户数据、信用卡等。”

对此类数据的访问取决于体系结构，服务器和数据库配置。如上所述，可以访问不同内部应用程序和存储客户数据的数据库的大型机或服务器使用此密钥。

研究人员说：

“与第三方系统交换此密钥和所有其他较低级别的密钥的方式具有不同的实现方式，因银行而异。”

“通常，人员和密钥都会定期更改，以避免这种类型的欺诈或问题，例如PostBank现在的情况。据我所知，这些密钥的管理是由各个银行来完成的，管理周期性变化和安全性的内部流程是由各个银行来决定的，并不是由特定的规定来决定的。”

银行主密钥是银行最敏感的秘密，因此受到相应的保护，很少遭到泄露，更不用说完全被盗了。

银行安全部门告诉ZDNet：

“一般情况下，根据最佳实践，HMK密钥是在专用服务器上管理的(使用专用的操作系统)，并且高度保护它不受物理访问的影响(多个同时badge访问和受限制/隔离的数据中心)。”

“此外，仅一个人无法访问整个密钥，秘钥是被分散在各个可靠的管理人员或贵宾之间的，只有在每个人都损坏的情况下才能重建。”

记者未能联系到Postbank请其发表评论。

2020年2月，另一家南非银行莱利银行(Nedbank)也报告了安全漏洞。该银行表示，黑客侵入了一家第三方服务提供商，并窃取了170多万名客户的信息。

*本文出自SCA安全通信联盟，转载请注明出处。（SCA安全通信联盟原创文章对外开白，欢迎加微信MrYe9173751开白）