Redaktoři spolu s Petrem Kučerou ze sdružení Iuridicum Remedium, které poukazuje na špatnou ochranu osobních údajů, na konci prosince zkusili, jak snadné je z karty data získat.
"Máte vypůjčenou knihu Vagína od C. Blackledgeové," hlásí Petr Kučera. A to jen deset minut poté, co si na svou čtečku stáhl informace z redaktorovy Opencard.
Petr Kučera přinesl malou elektronickou čtečku a přiložil ji ke kapse kalhot redaktora, kde kartu měl. To může udělat kdokoliv komukoli, třeba v metru či tramvaji. Za pár vteřin se do jeho přístroje přenesou informace.
Poté stačí zajít například do Městské knihovny na Mariánském náměstí. Petr Kučera to udělal.
Během pěti minut znal číslo karty, za další dvě jméno, e-mail a také informace o tom, co redaktor čte a četl. A do deseti minut znal i jeho další osobní údaje s výjimkou rodného čísla.
Úřad na ochranu osobních údajů je zděšen
Ten, kdo má Opencard aktivovanou i pro výpůjčky z Městské knihovny, by tak měl zpozornět. Sdružení Iuridicum Remedium na bezpečnostní díru Opencard upozornilo už v červnu.
Knihovna sice přijala určité opatření, evidentně to ale nestačilo. "V reakci na náš první útok knihovna zavedla opatření, kdy musíte uvést pro přihlášení čtyři poslední číslice ze své Opencard. Tudíž teoreticky by nebylo možné krádež dat uskutečnit bezkontaktně, potřebujete k tomu kartu vidět," říká Kučera.
Jak se ale redaktor mohl přesvědčit, bezpečnostní opatření padla během chvilky. Cesta od okamžiku, kdy si Kučera čtečkou sehnal prvotní informace, k tomu, kdy o redaktorovi znal téměř vše, trvala pár minut.
Přitom přístroje k této krádeži dat lze dnes na internetu pořídit za pár stovek. Znát tituly knih, které si člověk vypůjčil, se zdá vcelku nevinné. Ovšem podle vyjádření Úřadu pro ochranu osobních údajů je už i tohle velký zásah do soukromí.
"Očekáváme, že deník Metro nebo Iuridicum Remedium podají stížnost, která bude obsahovat konkrétnější informace," okomentovala výsledek akce mluvčí úřadu Hana Štěpánková.
Chyba není v Opencard, říká její mluvčí
Podle mluvčího karty Opencard Martina Opatrného je systém naprosto bezpečný. "To, k čemu došlo v Městské knihovně, nebylo prolomení systému Opencard, ale odhalení bezpečnostní mezery vnitřního systému knihovny. A podotýkám, že tato mezera se ještě navíc týkala čtenářů, kteří neměli svůj účet v knihovně chráněný heslem," řekl iDNES.cz.
VYJÁDŘENÍ MAGISTRÁTU K ZABEZPEČENÍ KARTY OPENCARD SI PŘEČTĚTE ZDE |
Podle Opatrného už došlo k nápravě zabezpečení. To spočívá v tom, že na knihomatech na některých pobočkách knihoven se již nezobrazuje číslo karty, které bylo možné zneužít.
Existuje ještě jiný způsob, jak si v Městské knihovně osobní údaje ochránit? Ano, nastavte si pro přihlášení na Opencard heslo. To ani ti největší piráti dat neprolomí. Zatím.
JAK STÁHL "AJŤÁK" ÚDAJE Z KARTYPrvní krok Na internetu si za částku kolem dvou tisíc korun pořídíte čtečku karet. Dále potřebujete počítač s připojením na internet, software, který přes čtečku informace o kartě přečte a upraví pro formát emulačního zařízení. Software i návod k sestavení zařízení pro emulaci karty je volně ke stažení na internetu. Druhý krok Čtečka dokáže přečíst Opencard na vzdálenost asi pěti centimetrů i z peněženky v kapse kalhot nic netušící osoby. Dražší čtečky na vzdálenost až 20 centimetrů. Čtečka je nastavená tak, aby četla frekvenci, jakou používá Opencard. Jak ji zjistíte? Jednoduše ze stránek výrobce čipů na internetu. Třetí krok Po načtení vyskočí na obrazovce data o kartě. Ta s pomocí programu typu assembler převedete do kódu používaného emulačním zařízením a naprogramujete čip emulátoru. Falešná karta je hotova. Čtvrtý krok S emulačním zařízením se "zapípnete" na čtečce terminálu knihovny, který slouží čtenářům k vytištění informací o výpůjčkách. Na výpisu je uvedeno číslo průkazu Opencard, jehož čtyři poslední číslice potřebujeme znát pro přihlášení do systému. Pátý krok Nyní se zadáním čtyřčíslí přihlásíte s emulovanou kartou do systému přímo v knihovně. Po přihlášení se zobrazí čtenářovo jméno, seznam vypůjčených knih a e-mail. Šestý krok Nyní se nově vytvořeným heslem přihlásíte i na webovky knihovny, kde o majiteli účtu zjistíme následující: jméno a příjmení, datum narození, číslo občanky, poštovní i e-mailovou adresu a číslo mobilu. Celá operace nezabrala ani deset minut. Jak se tomu bránit? Nečekejte, až hackeři nastaví v knihovně heslo za vás. Zadejte je sami. K osobním údajům se nedostanou. |