Osobní údaje z většiny městských karet v ČR lze ukrást prostřednictvím jednoduché aplikace
6. 8. 2012 - PRAHA [Econnect/Iuridicum Remedium]
Městské a dopravní karty používané v České republice v naprosté většině případů využívají zastaralé čipy, ze kterých není pro případného útočníka větší problém přečíst osobní údaje jejich držitelů. "Na příkladu Hradecké, Pardubické a Plzeňské městské karty jsme názorně ukázali, jak snadné je s pomocí jednoduché aplikace a mobilního telefonu získat osobní údaje držitele karty. K jejich získání stačí pár sekund a člověk ani nemusí zjistit, že někdo krade jeho data," upozorňuje Kateřina Hlatká z IuRe, která na videu vystupuje jako figurantka a dodává, že video v žádném případě nemá sloužit jako návod ke kráděži něčích dat.
"Video jsme natočili především proto, abychom ukázali, jak snadné je zneužití městských karet s čipem Mifare Classic a přiměli tak města i dopravní podniky, aby karty lépe zabezpečili a věnovali ochraně dat jejich uživatelů větší pozornost," uzavírá s tím, že se v České republice nesetkali mimo zmíněné výjimky, ani v jediném případě s kartou, která by byla zabezpečena. V mnoha případech jsou dokonce osobní data "chráněna" jen tzv. defaultním klíčem, který se v technické dokumentaci uvádí zcela veřejně.
Čipy Mifare Classic, používá kromě výše zmíněných karet naprostá většina městských a dopravních karet v České republice. Čestnou výjimku tvoří například Ostravská karta nebo opencard v Praze. Také opencard původně používala zastaralý čip Mifare Classic, na základě dlouhodobé kampaně IuRe za lepší zabezpečení údajů na kartě však později vyměnila čip za bezpečnější Mifare Desfire.
Plzeňská karta navíc mezi ostatními vyniká tím, že telefon Nokia s technologií NFC, přes který je možné údaje z cizí karty přečíst nabízel ve spolupráci s O2 samotný plzeňský dopravní podnik jako alternativu ke kartě. Jeho
prostřednictvím je ale možné z plzeňské karty číst i zapisovat osobní data i další údaje. Nabídka telefonů podporujíchích technologii NFC se rozšiřuje, takže to není jen otázka zde použitého typu. "Na nedostatečné zabezpečení
Plzeňské karty jsme opakovaně upozorňovali, dali jsme ohledně tohoto problému také podnět Úřadu na ochranu osobních údajů (ÚOOÚ). Ten ale stížnost smetl ze stolu s tím, že dokud nedojde k úniku dat, žádný problém v zabezpečení karty nevidí," komentuje Kateřina Hlatká.
Počátkem prosince 2011 IuRe podalo podnět ÚOOÚ na Pardubickou kartu a Městskou kartu Hradec Králové. V podnětu poukazuje mimo jiné právě na používání zastaralého čipu Mifare Classic. "Vzhledem k tomu, že naše upozornění na nedostatečné zabezpečení ochrany osobních údajů na všech třech kartách zůstala bez odezvy, rozhodli jsme se problém demonstrovat prostřednictvím videa za použití běžně dostupného mobilního telefonu a jednoduché aplikace," uvádí Kateřina Hlatká. Zastaralé karty Mifare Classic mají závažný bezpečnostní problém už od roku 2008, přesto aktuálně v Plzni vydali kartu, která by měla být platná až do léta roku 2017.