„Domníváme se, že je to jedna z nejzávažnějších chyb, které jsme objevili, která kdy byla vůbec objevena, v platebních systémech. A to se v oboru pohybuji už pětadvacet let,“ řekl v pořadu Newsnight britské televize BBC profesor Ross Anderson z počítačové laboratoře Cambridgeské univerzity. Upozornil, že jde o závažnou chybu v systému, který využívají stovky milionů lidí a desítky tisíc bank a obchodníků. Vědci připojili ukradenou kartu k notebooku, který měli ukrytý v batohu na zádech. Ten načetl z karty potřebná data. Do terminálu, ve kterém se karta zasouvá přímo do klávesnice a nepřebírá ji tak prodavač, putovala falešná speciálně upravená karta spojená tenkým a skoro neviditelným kabelem s počítačem. V ukázce člen Andersonova týmu vyťukal při transakci PIN „0000“ a terminál jej přijal.
Vyberte si platební kartu zde
Vědci dokázali přesvědčit terminál o tom, že PIN byl správný, a zároveň banku, které se data o platbě odesílají, že k transakci nebyl použit PIN, ale pouze podpis vlastníka karty. Podvodnou transakci banka bez problémů přijala. Výzkumníci zkusili systém na šestici různých karet od různých bank a zaplatit dokázali s každou z nich. Podvod funguje i v případě, že jsou terminály u obchodníků připojené přímo k síti banky.
Banky a karetní asociace reagovaly rychlým prohlášením, podle kterého je vše v pořádku. Mluvčí britské karetní asociace řekla, že výzkum sice dokázal teoretickou možnost útoku, v praxi existuje ale množství snazších způsobů, jak z ukradené karty dostat peníze.
Mluvčí Poštovní spořitelny Denisa Salátková pak uvedla, že „je velmi nepravděpodobné, že by se něco podobného mohlo na českém trhu uskutečnit. I kdyby k tomu došlo, jsme schopni to díky monitoringu zachytit a dalším případům zabránit.“
Podle vědecké práce týmu z Cambridge jde ale o prolomení samotného protokolu EMV (který je pojmenovaný po firmách Europay, MasterCard a Visa, jež jej využívají). Ten je světovým standardem. Vědci tak doporučují bankám a finančním institucím, aby software v terminálech rychle aktualizovaly.