Aktuální zajímavé zprávy a odkazy

Opencard má potíž se zabezpečením

Podívejte se, jak lze do 10 minut získat údaje z cizí Opencard
idnes.cz, Středa 5. leden 2011

Opencard má potíž se zabezpečením. Pokud je její držitel zaregistrován jako čtenář v městské knihovně, pomocí čtečky karet je možné si z jeho karty stáhnout osobní údaje. Jak upozornil deník Metro, čtečku stačí přiložit majiteli ke kapse, kde kartu má, a do deseti minut má majitel čtečky jeho údaje

S Kučerou ze sdružení Iuridicum Remedium, které poukazuje na špatnou ochranu osobních dat, redaktoři na konci prosince zkusili, jak snadné je z karty ukrást data.

"Máte vypůjčenou knihu Vagína od C. Blackledgeové," hlásí Petr Kučera. A to jen deset minut poté, co si na svou čtečku načetl informace z redaktorovy Opencard.

Kučera přinesl malou elektronickou čtečku a přiložil ji ke kapse kalhot redaktora, kde kartu měl. To může kdokoliv udělat komukoli v metru či tramvaji. Za pár vteřin se do jeho přístroje přenesla informace o kartě. S tím už Kučera věděl, jak pracovat. Stačilo zajít do Městské knihovny na Mariánském náměstí.

Během pěti minut znal číslo karty, během sedmi už věděl jméno, e-mail a co redaktor čte a četl. A do deseti minut znal i jeho další osobní údaje, až na rodné číslo.
Úřad na ochranu osobních údajů je zděšen

Ten, kdo má Opencard aktivovanou pro výpůjčky z Městské knihovny, by tak měl zpozornět. Sdružení Iuridicum Remedium na bezpečnostní díru Opencard při půjčování knih upozornilo už v červnu.

Knihovna sice přijala určité opatření, evidentně to ale nestačilo. "V reakci na náš červnový první útok knihovna zavedla opatření, kdy musíte uvést pro přihlášení čtyři poslední číslice z vaší Opencard. Tudíž teoreticky by nebylo možné krádež dat uskutečnit bezkontaktně, potřebujete k tomu minimálně kartu vidět," říká Kučera.

Jak se ale redaktor mohl přesvědčit, bezpečnostní opatření padla během chvilky. Cesta od okamžiku, kdy si Kučera čtečkou sehnal prvotní informace, k tomu, kdy o redaktorovi znal téměř vše, trvala pár minut.

Přitom přístroje k této krádeži dat lze dnes na internetu pořídit za pár stovek. Znát tituly knih, které si vypůjčil, se zdá vcelku nevinné. Ovšem podle vyjádření Úřadu pro ochranu osobních údajů je už jen tohle velký zásah do soukromí.

"Nejde jen o zneužitelnost uváděných osobních údajů. Dá se ale říci, že závažnější průnik do soukromí může představovat i sama znalost o knihách, které si dotyčný čtenář vypůjčuje. Očekáváme, že deník Metro nebo Iuridicum Remedium podají stížnost, která bude obsahovat konkrétnější informace," okomentovala výsledek akce mluvčí úřadu Hana Štěpánková.

Existuje způsob, jak si v Městské knihovně osobní údaje ochránit? Ano, nastavte si po přihlášení na Opencard heslo. To ani ti největší piráti dat neprolomí. Zatím.
JAK STÁHL "AJŤÁK" ÚDAJE Z KARTY

První krok

Na internetu si za částku kolem dvou tisíc korun pořídíte čtečku karet. Dále potřebujete počítač s připojením na internet, software, který přes čtečku informace o kartě přečte a upraví pro formát emulačního zařízení. Software i návod k sestavení zařízení pro emulaci karty je volně ke stažení na internetu.

Druhý krok

Čtečka dokáže přečíst Opencard na vzdálenost asi pěti centimetrů i z peněženky v kapse kalhot nic netušící osoby. Dražší čtečky na vzdálenost až 20 centimetrů. Čtečka je nastavená tak, aby četla frekvenci, jakou používá Opencard. Jak ji zjistíte? Jednoduše ze stránek výrobce čipů na internetu.

Třetí krok

Po načtení vyskočí na obrazovce data o kartě. Ta s pomocí programu typu assembler převedete do kódu používaného emulačním zařízením a naprogramujete čip emulátoru. Falešná karta je hotova.

Čtvrtý krok

S emulačním zařízením se "zapípnete" na čtečce terminálu knihovny, který slouží čtenářům k vytištění informací o výpůjčkách. Na výpisu je uvedeno číslo průkazu Opencard, jehož čtyři poslední číslice potřebujeme znát pro přihlášení do systému.

Pátý krok

Nyní se zadáním čtyřčíslí přihlásíte s emulovanou kartou do systému přímo v knihovně. Po přihlášení se zobrazí čtenářovo jméno, seznam vypůjčených knih a e-mail.

Šestý krok

Nyní se nově vytvořeným heslem přihlásíte i na webovky knihovny, kde o majiteli účtu zjistíme následující: jméno a příjmení, datum narození, číslo občanky, poštovní i e-mailová adresa a číslo mobilu. Celá operace nezabrala ani deset minut.

Jak se tomu bránit?

Nečekejte, až hackeři nastaví v knihovně heslo za vás. Zadejte jej sami. K osobním údajům se nedostanou.
Kam dál?

* Pražané si stále mohou koupit papírový kupón na MHD, nikdo jim to ale neřekl
* Praze nefungovaly webové stránky, lidé se nedostali ani na server Opencard
* Na kartu Opencard se na magistrátě stojí dlouhé fronty, lidé jsou otrávení

Zdroj s funkčními odkazy news.branyvnimani.cz

Žádné komentáře:

Okomentovat