5. ledna 2011 17:28, aktualizováno 6. 1 9:28 Lidovky.cz > Zprávy > Domov

Krást osobní data z Opencard zvládne
každý. A trvá to jen pár minut

  • Poslat
  • Tisk
  • Redakce
  • 0Diskuse
Opencard - ilustrační foto.  | na serveru Lidovky.cz | aktuální zprávy Opencard - ilustrační foto. | foto: ČTK
PRAHA Opencard má další problém, tentokrát vázne zabezpečení. Obyčejnou čtečkou karet, kterou lze na internetu pořídit za pár stovek, se totiž může kdokoliv dozvědět vaše rodné číslo, bydliště, číslo občanky i číslo mobilu, to vše jen za pár minut.

S informací přišel deník Metro, který zabezpečení karty s pomocí specialisty otestoval.



"Máte vypůjčenou knihu Vagína od C. Blackledgeové," hlásí vítězoslavně Petr Kučera. A to jen deset minut poté, co si na svou čtečku načetl informace z mé Opencard. S Kučerou ze sdružení Iuridicum Remedium, které poukazuje na špatnou ochranu osobních dat, jsme si na konci prosince zkusili, jak snadné je z této karty ukrást data.

Kučera přinesl malou elektronickou čtečku a přiložil ji ke kapse mých kalhot, kde jsem kartu měl. To můžete udělat komukoli v metru či tramvaji. Za pár vteřin se do jeho přístroje přenesla informace o mé kartě. S tím už věděl, jak pracovat.

Opencard

Stačilo zajít do Městské knihovny na Mariánském náměstí. Během pěti minut znal číslo mé karty, během sedmi už věděl mé jméno, můj e-mail a co rád čtu. A do deseti minut znal i mé další osobní údaje. Až na rodné číslo.

Mluvčí opencard Martin Opatrný s výsledkem testování nesouhlasí. "Nejednalo se o prověření opencard, ale vnitřního systému Městské knihovny v Praze. Systém opencard jako takový splňuje přísná bezpečnostní kritéria," tvrdí.

Knihovna upozornění na bezpečnostní mezeru v rámci svého systému vítá. Ostře se ovšem ohrazuje vůči způsobu, jakým občanské sdružení Iuridicum Remedium postupovalo. Na místo toho, aby zástupci sdružení informovali knihovnu, bez upozornění tuto záležitost medializovali. Praha v současné době zvažuje vůči sdružení Iuridicum Remedium právní kroky.

"Číslo čipu opencard, stejně jako čipů bankovních karet nebo např. skipasů lze pochopitelně čtečkou přečíst. U opencard však nelze však zjistit citlivé osobní údaje, protože je čip karty neobsahuje. Číslo čipu navíc není identické s číslem karty, které je na opencard natištěno, a tudíž jej není možné žádnou čtečkou přečíst." brání projekt Opatrný.

Opencard

Chybu v systému ale uznal: "K číslu karty opencard bylo skutečně možné se dostat kvůli bezpečnostní mezeře v rámci IT systému Městské knihovny. Chyba byla okamžitě odstraněna a tento postup získání čísla karty již není možný," dodává.

V knihovně celá akce trvá jen pár minut
Ten, kdo má Opencard aktivovanou pro výpůjčky z Městské
knihovny, by měl zpozornět. "V reakci na náš červnový první
útok knihovna zavedla opatření, kdy musíte uvést pro přihlášení čtyři poslední číslice z vaší Opencard. Tudíž teoreticky by nebylo možné krádež dat uskutečnit bezkontaktně, potřebujete k tomu minimálně kartu vidět," říká Kučera.

Jak jsme se ale měli možnost přesvědčit, bezpečnostní opatření padla během chvilky. Přesný postup krádeže údajů si přečtěte v boxech, které jsou vedle tohoto článku. Cesta od okamžiku,
kdy si Kučera čtečkou sehnal o mně prvotní informace, k tomu, kdy o mně znal téměř vše, trvala pár minut.

Rok 2010 v obrazech

Přitom přístroje k této krádeži dat lze dnes na internetu pořídit za pár
stovek. Znát tituly knih, které jsem si vypůjčil, se zdá vcelku nevinné. Ovšem podle vyjádření Úřadu pro ochranu osobních údajů je už jen tohle velký zásah do soukromí.

Existuje způsob, jak si v Městské knihovně osobní údaje ochránit? Ano, nastavte si po přihlášení na Opencard heslo. To ani ti největší piráti dat neprolomí. Zatím.

Krok za krokem

První krok
Na internetu si za částku kolem dvou tisíc korun pořídíte čtečku karet. Dále potřebujete počítač s připojením na internet, software, který přes čtečku informace o kartě přečte a upraví pro formát emulačního zařízení. Software i návod k sestavení zařízení pro emulaci karty je volně ke stažení na internetu.

Druhý krok
Čtečka dokáže přečíst Opencard na vzdálenost asi pěti centimetrů i z peněženky v kapse kalhot nic netušící osoby. Dražší čtečky na vzdálenost až 20 centimetrů. Čtečka je nastavená tak, aby četla frekvenci, jakou používá Opencard. Jak ji zjistíte? Jednoduše ze stránek výrobce čipů na internetu.

Třetí krok
Po načtení vyskočí na obrazovce data o kartě. Ta s pomocí programu typu assembler převedete do kódu používaného emulačním zařízením a naprogramujete čip emulátoru. Falešná karta je hotova.

Čtvrtý krok
S emulačním zařízením se "zapípnete" na čtečce terminálu knihovny, který slouží čtenářům k vytištění informací o výpůjčkách. Na výpisu je uvedeno číslo průkazu Opencard, jehož čtyři poslední číslice potřebujeme znát pro přihlášení do systému.

Pátý krok
Nyní se zadáním čtyřčíslí přihlásíte s emulovanou kartou do systému přímo v knihovně. Po přihlášení se zobrazí čtenářovo jméno, seznam vypůjčených knih a e-mail.

Šestý krok
Nyní se nově vytvořeným heslem přihlásíte i na webovky knihovny, kde o majiteli účtu zjistíme následující: jméno a příjmení, datum narození, číslo občanky, poštovní i e-mailová adresa a číslo mobilu. Celá operace nezabrala ani deset minut.

Jak se tomu bránit?
Nečekejte, až hackeři nastaví v knihovně heslo za vás. Zadejte jej sami. K osobním údajům se nedostanou.


Metro, Tomáš Belica
  • 0Diskuse




REGISTRACE NA SERVERU LIDOVKY.CZ, NEVIDITELNÉM PSU A ČESKÉ POZICI

SMS Registrace

Diskuse LN jsou pouze pro diskutéry, kteří se vyjadřují slušně a neporušují zákon ani dobré mravy. Registrace je platná i pro servery Neviditelný pes a Česká pozice. více Přestupek znamená vyřazení Vašeho telefonního čísla z registrace a vyřazený diskutér se již nemůže přihlásit ani registrovat pod stejným tel. číslem. Chráníme tak naše čtenáře a otevíráme prostor pro kultivovanou diskusi.
Viz Pravidla diskusí. schovat

Jak postupovat

1. Zašlete SMS ve tvaru LIDOVKY REG na číslo 900 11 07. Cena SMS za registraci je 7 Kč. Přijde Vám potvrzující SMS s heslem.

2. Vyplňte fomulář, po odeslání registrace můžete ihned diskutovat

Tel. číslo = login,
formát "+420 xxx xxx xxx"
Kód ze SMS je rovněž heslo
Vaše příspěvky budou označeny Vaším jménem, např. K. Novák.
* Nepovinný.
Odesláním souhlasíte s Pravidly diskusí.

Najdete na Lidovky.cz