Video: Bezpečnost dat čtenářů ohrožena kvůli opencard

8. 6. 2010 | 06:54

Osobní data čtenářů, kteří využívají v Městské knihovně v Praze opencard namísto tradičního čtenářského průkazu, jsou ohrožena. Nevládní organizace Iuridicum Remedium dnes upozornila, že v zabezpečení dat na opencard existuje závažný nedostatek, který útočníkovi umožňuje „odcizit“ elektronickou identitu uživatele karty a zjistit také jeho další osobní data. Tento nedostatek byl zjištěn právě v době, kdy je na využívání opencard nucena přistoupit pražská školní populace.

Video zde: http://www.youtube.com/watch?v=Yxvy_eGK5r4

V souvislosti s prověřováním bezpečnosti aplikací umístněných v současné době na kartě, bylo Iure vážně znepokojeno aktuálním zjištěním prezentovaným kryptologem Tomášem Rosou. V přednášce na téma Vybrané aspekty bezpečnosti RFID konané 17. května 2010 na semináři Ústavu telekomunikací FEKT VUT v Brně kryptolog uvedl, že z karet opencard založených na čipech MIFARE DESFire využívaných knihovnou je možné přes rádiové rozhraní bez vědomí držitele získat volně dostupná identifikační data, která lze následně pomocí jednoduchého emulátoru zadat do čteček na pobočkách Městské knihovny. Pokudčtenář postižený touto krádeží identity nemá aktivované doplňkové přihlašovací heslo (což podle našich zjištění řada čtenářů nemá), získává útočník přístup k celému souboru osobních dat čtenáře i k využívání některých služeb.

IuRe tyto informace ověřilo a může tak potvrdit, že zabezpečení dat skutečně obsahuje výše popsanou slabinu, která útočníkovi umožňuje přístup k osobním datům původního držitele i k některým službám. Tento fakt alarmující o to více, že od 13. června 2010 lze zakoupit časové předplatní jízdenky tarifních kategorií Dítě (10-15 let) a Junior (15-19 let) již pouze na opencard. To nepochybně také povede k vynucenému rozšířenému využívání opencard v Městské knihovně mezi dětmi a mládeží. V ohrožení se tak ocitnou data nejvíce zranitelné části populace.

Nevládní organizace se proto obrátila na ředitele Městské knihovny Tomáše Řeháka se žádostí o okamžité informování držitelů karty o existujícím nebezpečí a podniknutí dalších nezbytných opatření k odstranění mezery v zabezpečení dat.

Prezentace Tomáše Rosy: http://secreg.utko.feec.vutbr.cz/sites/default/files/RFID_rosa_v2.pdf

Kdo jsme

  • Tento web provozuje iure, neziskovka zabývající se ochranou lidských práv.
     
Logo IuRe

 

Rok poté

Rok poté

Naše další weby

IuRe je členem

Internet Defense League 

 EDRi logo