Pouze text - only text Econnect Zpravodajství Informační servis pro NNO
- Kalendář akcí | Práce v NNO | Katalog odkazů | Občan TOPlist
- -
Pouze text - only text
logo Econnectu Zpravodajství
pro registrované uživatele pro novináře pouze text English
-
- - - - - - - - -
- -
-
Zpravodajství ze VŠECH oblastí Životní prostředí Lidská práva Sociální oblast Gender Regionální rozvoj Kultura Občanský sektor Internet
- -
Zpravodajství - kultura
zpravodajstvi.ecn.cz > zpravodajství > zprávy
-
-

 zprávy

 komentáře

 tiskové zprávy

 témata

 multimedia

Bezpečnost dat čtenářů ohrožena kvůli opencard

8. 6. 2010 - PRAHA [Econnect]

Osobní data čtenářů, kteří využívají v Městské knihovně v Praze opencard namísto tradičního čtenářského průkazu, jsou ohrožena. Nevládní organizace Iuridicum Remedium dnes upozornila, že v zabezpečení dat na opencard existuje závažný nedostatek, který útočníkovi umožňuje "odcizit" elektronickou identitu uživatele karty a zjistit také jeho další osobní data. Tento nedostatek byl
zjištěn právě v době, kdy je na využívání opencard nucena přistoupit pražská školní populace.

Nevládní organizace Iuridicum Remedium (www.iure.org) se řadu let zabývá ochranou osobních údajů především v souvislosti se zaváděním nových technologií. Již v dubnu 2007 IuRe upozornilo, že na bezkontaktním čipu karty opencard je bezdůvodně umístěná řada osobních údajů, které držitel odevzdal při registraci (jméno, příjmení, pohlaví, datum narození.). Čip karty byl navíc nedostatečně zabezpečen, neboť přístupový klíč pro ochranu uvedených údajů byl nastaven na takzvanou veřejnou hodnotu, která je všeobecně známa a běžně dostupná například na internetu.

Magistrát následně přistoupil na výzvu IuRe k výměně celého čipu za model, který lépe splňuje bezpečnostní požadavky moderní elektronické společnosti. Deklaroval také odstoupení od praxe uchovávání osobních údajů na čipu karty v nezašifrované podobě -- zůstává pouze datum narození držitele, údajně kvůli ověření věku žadatele o slevový kupón PID.

V současné době IuRe usiluje o zavedení anonymních karet opencard za nediskriminačních podmínek pro uživatele, staví se proti prodeji databáze získaných osobních údajů (kmene držitelů) komerčním subjektům a proti plánu na zavádění turniketů v pražském metru, které by RFID karty využívaly.

V souvislosti s prověřováním bezpečnosti aplikací umístněných v současné době na kartě, bylo Iure vážně znepokojeno aktuálním zjištěním prezentovaným kryptologem Tomášem Rosou. V přednášce na téma Vybrané aspekty bezpečnosti RFID konané 17. května 2010 na semináři Ústavu telekomunikací FEKT VUT v Brně kryptolog uvedl, že z karet opencard založených na čipech MIFARE DESFire využívaných knihovnou je možné přes rádiové rozhraní bez vědomí držitele získat volně dostupná identifikační data, která lze následně pomocí jednoduchého
emulátoru zadat do čteček na pobočkách Městské knihovny. Pokud čtenář postižený touto krádeží identity nemá aktivované doplňkové přihlašovací heslo (což podle našich zjištění řada čtenářů nemá), získává útočník přístup k celému souboru osobních dat čtenáře i k využívání některých služeb.

IuRe tyto informace ověřilo a může tak potvrdit, že zabezpečení dat skutečně obsahuje výše popsanou slabinu, která útočníkovi umožňuje přístup k osobním datům původního držitele i k některým službám. Tento fakt alarmující o to více, že od 13. června 2010 lze zakoupit časové předplatní jízdenky tarifních kategorií Dítě (10-15 let) a Junior (15-19 let) již pouze na opencard. To nepochybně také povede k vynucenému rozšířenému využívání opencard v Městské knihovně mezi dětmi a mládeží. V ohrožení se tak ocitnou data nejvíce zranitelné části populace.

Nevládní organizace se proto obrátila na ředitele Městské knihovny Tomáše Řeháka se žádostí o okamžité informování držitelů karty o existujícím nebezpečí a podniknutí dalších nezbytných opatření k odstranění mezery v zabezpečení dat. Zároveň také umístila na stránky www.slidilove.cz varování uživatelům opencard. Demonstrace krádeže identity čtenáře Městské knihovny, který využívá opencard.


-red-

DISKUSE - KOMENTÁŘE:


O Autorech

-red-

(Článek je redakčně upravenou tiskovou zprávou některé z nevládních organizací. Jméno organizace uvádíme v záhlaví zprávy.)

Občanská společnost v EU - návod k použití

http://obcan.ecn.cz/eu
Občanská společnost
Praktické informace jak využít občanská práva v Evropské unii Právo vědět - Účast na rozhodování - Rovné příležitosti

Služby Econnectu

ToolkitUnavuje vás tvorba www stránek v HTML?
Nemá váš webmaster čas na jejich aktualizaci?
S publikačním systémem TOOLKIT to zvládnete SNADNO, RYCHLE A SAMI:
VYZKOUŠEJTE ZDARMA!
vytisknoutvytisknout
Logo Econnectu Easy CONNECTion - snadné spojení mezi lidmi, kteří mění svět
Webhosting, webdesign a publikační systém Toolkit - Econnect
Econnect,o.s.; Českomalínská 23; 160 00 Praha 6; tel: 224 311 780; econnect@ecn.cz