Bezpečnostní díra v Opencard stále ohrožuje data čtenářů
5. 1. 2011 - PRAHA [Econnect]
Uživatelé Opencard coby čtenářského průkazu do Městské knihovny v Praze (MKP) si stále nemohou být jisti, že jsou jejich osobní data v bezpečí. Ukázala to již druhá demonstrativní krádež identity držitele Opencard, kterou IuRe zrealizovalo ve spolupráci s redaktorem deníku Metro Tomášem Belicou. "K odcizení osobních údajů redaktora v roli čtenáře stačila čtečka karet, běžně dostupný software, počítač s připojením k internetu a emulační zařízení jednoduše sestavitelné podle internetového návodu. Útočník si tak vytvoří kopii karty. Nemá-li čtenář svůj účet krytý heslem, útočníkovi nic nebrání v přístupu k jeho osobním datům," vysvětluje IT expert IuRe Petr Kučera.
Video zachycující druhou demonstrativní krádež identity čtenáře - jméno, příjmení, datum narození, pohlaví, číslo občanského průkazu, kontaktní adresu a telefon, emailovou adresu - je k dispozici zde: https://www.youtube.com/watch?v=rx4YsIC3TmU&feature=player_embedded
Už v červnu 2010 IuRe upozornilo na závažný nedostatek v zabezpečení Opencard. V ohrožení byli stejně jako nyní všichni čtenáři, kteří kartu používají jako čtenářský průkaz a zároveň si svůj čtenářský účet neopatřili heslem. O demonstrační krádeži identity čtenáře MKP a následných opatřeních jsme informovali (http://slidilove.cz/content/mkp-po-upozorneni-iure-zavedli-nova-opatreni-pro-zabezpeceni-dat-na-opencard).
Knihovna v reakci na první demonstraci chabého zabezpečení dat čtenářů zavedla opatření, že čtenář, který nemá konto kryté heslem, musí při přihlášení opsat část logického čísla Opencard vytištěného na jejím povrchu. Nyní IuRe znovu upozornilo, že zavedená ochranná opatření MKP lze obejít, a že celková implementace karty Opencard v MKP je problematická.
"Naše demonstrace ukazuje, že nedostatečné zabezpečení návazných aplikací Opencard ohrožuje držitele i v případě, když je v základních funkcích Opencard použito relativně dobré zabezpečení. Slabě zabezpečená aplikace Opencard ohrožuje integritu celého sytému aplikací karty. Proto je důležité, aby celkové řešení integrace aplikací třetích stran na kartu Opencard nebylo zejména v oblasti zabezpečení polovičaté," varuje Petr Kučera.
Na základě zjištěných problémů se zabezpečením osobních dat čtenářů podá IuRe podnět Úřadu pro ochranu osobních údajů, aby věc prošetřil. "Opakované chyby v zabezpečení dat, které se nám podařilo odhalit u Opencard poukazují na širší problém, který přesahuje problémy této jedné karty. Opět se potvrzuje jednoduchá poučka, že nejzabezpečenější jsou ty údaje, které nikde zpracovávány nejsou, a tudíž by správce osobních údajů měl vždy okruh osobních údajů minimalizovat tak, aby byly dopady potenciálního úniku dat co nejmenší. V případě Městské knihovny je třeba otázkou proč je vůbec zpracovávána kompletní historie toho, jaké knihy si kdo kdy vypůjčil," dodává k případu Petr Kučera.
V čem je problematické současné zabezpečení Opencard jako čtenářského průkazu:
1. Pokud útočník zná svou oběť, může si kartu Opencard pod nějakou záminkou na pár sekund vypůjčit a poslední čtyři číslice logického čísla si zapamatovat. Pak již může postupovat stejně jako v červnové demonstraci IuRe a při přihlašování do terminálu v knihovně už kartu vůbec nemusí držet fyzicky v ruce.
2. V současnosti útočník ani nemusí znát svou oběť ani si prohlédnout její kartu Opencard. Pokud si bezkontaktně přečte a emuluje kartu Opencard, jak je popsáno v červnové demonstraci, může si zobrazit logické číslo karty Opencard na zvláštním "knihomatu", který je umístěn v hale ústřední knihovny na Mariánském náměstí. Knihomat dokonce vytiskne informace o čtenářském kontu, včetně potřebného logického čísla karty. K zobrazení informací o čtenářském kontu, včetně uskutečněných knihovních výpůjček, není dokonce ani zapotřebí zadávat heslo i u karet Opencard, které jinak mají ochranu heslem nastavenou.
Útok číslo 2 demonstrujeme v přiloženém videu. Ve výsledku získá útočník podobně jako při červnové demonstraci plnou kontrolu nad čtenářským účtem a přístup k souboru osobních informací: jméno, příjmení, datum narození, pohlaví, číslo občanského průkazu, kontaktní adresu a telefon, emailovou adresu.