Pátek 29. března 2024, svátek má Taťána
130 let

Lidovky.cz

Krást osobní data z Opencard zvládne každý. A trvá to jen pár minut

Česko

  17:28aktualizováno  6. ledna 9:28
PRAHA - Opencard má další problém, tentokrát vázne zabezpečení. Obyčejnou čtečkou karet, kterou lze na internetu pořídit za pár stovek, se totiž může kdokoliv dozvědět vaše rodné číslo, bydliště, číslo občanky i číslo mobilu, to vše jen za pár minut.

Opencard - ilustrační foto. foto: ČTK

S informací přišel deník Metro, který zabezpečení karty s pomocí specialisty otestoval.



"Máte vypůjčenou knihu Vagína od C. Blackledgeové," hlásí vítězoslavně Petr Kučera. A to jen deset minut poté, co si na svou čtečku načetl informace z mé Opencard. S Kučerou ze sdružení Iuridicum Remedium, které poukazuje na špatnou ochranu osobních dat, jsme si na konci prosince zkusili, jak snadné je z této karty ukrást data.

Kučera přinesl malou elektronickou čtečku a přiložil ji ke kapse mých kalhot, kde jsem kartu měl. To můžete udělat komukoli v metru či tramvaji. Za pár vteřin se do jeho přístroje přenesla informace o mé kartě. S tím už věděl, jak pracovat.

Opencard

Stačilo zajít do Městské knihovny na Mariánském náměstí. Během pěti minut znal číslo mé karty, během sedmi už věděl mé jméno, můj e-mail a co rád čtu. A do deseti minut znal i mé další osobní údaje. Až na rodné číslo.

Mluvčí opencard Martin Opatrný s výsledkem testování nesouhlasí. "Nejednalo se o prověření opencard, ale vnitřního systému Městské knihovny v Praze. Systém opencard jako takový splňuje přísná bezpečnostní kritéria," tvrdí.

Knihovna upozornění na bezpečnostní mezeru v rámci svého systému vítá. Ostře se ovšem ohrazuje vůči způsobu, jakým občanské sdružení Iuridicum Remedium postupovalo. Na místo toho, aby zástupci sdružení informovali knihovnu, bez upozornění tuto záležitost medializovali. Praha v současné době zvažuje vůči sdružení Iuridicum Remedium právní kroky.

"Číslo čipu opencard, stejně jako čipů bankovních karet nebo např. skipasů lze pochopitelně čtečkou přečíst. U opencard však nelze však zjistit citlivé osobní údaje, protože je čip karty neobsahuje. Číslo čipu navíc není identické s číslem karty, které je na opencard natištěno, a tudíž jej není možné žádnou čtečkou přečíst." brání projekt Opatrný.

Opencard

Chybu v systému ale uznal: "K číslu karty opencard bylo skutečně možné se dostat kvůli bezpečnostní mezeře v rámci IT systému Městské knihovny. Chyba byla okamžitě odstraněna a tento postup získání čísla karty již není možný," dodává.

V knihovně celá akce trvá jen pár minut
Ten, kdo má Opencard aktivovanou pro výpůjčky z Městské
knihovny, by měl zpozornět. "V reakci na náš červnový první
útok knihovna zavedla opatření, kdy musíte uvést pro přihlášení čtyři poslední číslice z vaší Opencard. Tudíž teoreticky by nebylo možné krádež dat uskutečnit bezkontaktně, potřebujete k tomu minimálně kartu vidět," říká Kučera.

Jak jsme se ale měli možnost přesvědčit, bezpečnostní opatření padla během chvilky. Přesný postup krádeže údajů si přečtěte v boxech, které jsou vedle tohoto článku. Cesta od okamžiku,
kdy si Kučera čtečkou sehnal o mně prvotní informace, k tomu, kdy o mně znal téměř vše, trvala pár minut.

Rok 2010 v obrazech

Přitom přístroje k této krádeži dat lze dnes na internetu pořídit za pár
stovek. Znát tituly knih, které jsem si vypůjčil, se zdá vcelku nevinné. Ovšem podle vyjádření Úřadu pro ochranu osobních údajů je už jen tohle velký zásah do soukromí.

Existuje způsob, jak si v Městské knihovně osobní údaje ochránit? Ano, nastavte si po přihlášení na Opencard heslo. To ani ti největší piráti dat neprolomí. Zatím.

Krok za krokem

První krok
Na internetu si za částku kolem dvou tisíc korun pořídíte čtečku karet. Dále potřebujete počítač s připojením na internet, software, který přes čtečku informace o kartě přečte a upraví pro formát emulačního zařízení. Software i návod k sestavení zařízení pro emulaci karty je volně ke stažení na internetu.

Druhý krok
Čtečka dokáže přečíst Opencard na vzdálenost asi pěti centimetrů i z peněženky v kapse kalhot nic netušící osoby. Dražší čtečky na vzdálenost až 20 centimetrů. Čtečka je nastavená tak, aby četla frekvenci, jakou používá Opencard. Jak ji zjistíte? Jednoduše ze stránek výrobce čipů na internetu.

Třetí krok
Po načtení vyskočí na obrazovce data o kartě. Ta s pomocí programu typu assembler převedete do kódu používaného emulačním zařízením a naprogramujete čip emulátoru. Falešná karta je hotova.

Čtvrtý krok
S emulačním zařízením se "zapípnete" na čtečce terminálu knihovny, který slouží čtenářům k vytištění informací o výpůjčkách. Na výpisu je uvedeno číslo průkazu Opencard, jehož čtyři poslední číslice potřebujeme znát pro přihlášení do systému.

Pátý krok
Nyní se zadáním čtyřčíslí přihlásíte s emulovanou kartou do systému přímo v knihovně. Po přihlášení se zobrazí čtenářovo jméno, seznam vypůjčených knih a e-mail.

Šestý krok
Nyní se nově vytvořeným heslem přihlásíte i na webovky knihovny, kde o majiteli účtu zjistíme následující: jméno a příjmení, datum narození, číslo občanky, poštovní i e-mailová adresa a číslo mobilu. Celá operace nezabrala ani deset minut.

Jak se tomu bránit?
Nečekejte, až hackeři nastaví v knihovně heslo za vás. Zadejte jej sami. K osobním údajům se nedostanou.


Autor:

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!