Podívejte se, jak lze do 10 minut získat údaje z cizí Opencard

  15:32aktualizováno  18:51
Opencard má potíže se zabezpečením. Pokud je její držitel zaregistrován jako čtenář v Městské knihovně, pomocí čtečky je možné si z jeho karty stáhnout osobní údaje. Jak upozornil deník Metro, stačí zařízení přiložit majiteli ke kapse, kde kartu má. Vlastník čtečky se k údajům z karty dostane do deseti minut.

Redaktoři spolu s Petrem Kučerou ze sdružení Iuridicum Remedium, které poukazuje na špatnou ochranu osobních údajů, na konci prosince zkusili, jak snadné je z karty data získat.

"Máte vypůjčenou knihu Vagína od C. Blackledgeové," hlásí Petr Kučera. A to jen deset minut poté, co si na svou čtečku stáhl informace z redaktorovy Opencard.

Petr Kučera přinesl malou elektronickou čtečku a přiložil ji ke kapse kalhot redaktora, kde kartu měl. To může udělat kdokoliv komukoli, třeba v metru či tramvaji. Za pár vteřin se do jeho přístroje přenesou informace.

Poté stačí zajít například do Městské knihovny na Mariánském náměstí. Petr Kučera to udělal.

Během pěti minut znal číslo karty, za další dvě jméno, e-mail a také informace o tom, co redaktor čte a četl. A do deseti minut znal i jeho další osobní údaje s výjimkou rodného čísla.

Úřad na ochranu osobních údajů je zděšen

Ten, kdo má Opencard aktivovanou i pro výpůjčky z Městské knihovny, by tak měl zpozornět. Sdružení Iuridicum Remedium na bezpečnostní díru Opencard upozornilo už v červnu.

Knihovna sice přijala určité opatření, evidentně to ale nestačilo. "V reakci na náš první útok knihovna zavedla opatření, kdy musíte uvést pro přihlášení čtyři poslední číslice ze své Opencard. Tudíž teoreticky by nebylo možné krádež dat uskutečnit bezkontaktně, potřebujete k tomu kartu vidět," říká Kučera.

Jak se ale redaktor mohl přesvědčit, bezpečnostní opatření padla během chvilky. Cesta od okamžiku, kdy si Kučera čtečkou sehnal prvotní informace, k tomu, kdy o redaktorovi znal téměř vše, trvala pár minut.

Přitom přístroje k této krádeži dat lze dnes na internetu pořídit za pár stovek. Znát tituly knih, které si člověk vypůjčil, se zdá vcelku nevinné. Ovšem podle vyjádření Úřadu pro ochranu osobních údajů je už i tohle velký zásah do soukromí.

"Očekáváme, že deník Metro nebo Iuridicum Remedium podají stížnost, která bude obsahovat konkrétnější informace," okomentovala výsledek akce mluvčí úřadu Hana Štěpánková.

Chyba není v Opencard, říká její mluvčí

Podle mluvčího karty Opencard Martina Opatrného je systém naprosto bezpečný. "To, k čemu došlo v Městské knihovně, nebylo prolomení systému Opencard, ale odhalení bezpečnostní mezery vnitřního systému knihovny. A podotýkám, že tato mezera se ještě navíc týkala čtenářů, kteří neměli svůj účet v knihovně chráněný heslem," řekl iDNES.cz.

VYJÁDŘENÍ MAGISTRÁTU K ZABEZPEČENÍ KARTY OPENCARD SI PŘEČTĚTE ZDE

Podle Opatrného už došlo k nápravě zabezpečení. To spočívá v tom, že na knihomatech na některých pobočkách knihoven se již nezobrazuje číslo karty, které bylo možné zneužít.

Existuje ještě jiný způsob, jak si v Městské knihovně osobní údaje ochránit? Ano, nastavte si pro přihlášení na Opencard heslo. To ani ti největší piráti dat neprolomí. Zatím.

JAK STÁHL "AJŤÁK" ÚDAJE Z KARTY

První krok

Na internetu si za částku kolem dvou tisíc korun pořídíte čtečku karet. Dále potřebujete počítač s připojením na internet, software, který přes čtečku informace o kartě přečte a upraví pro formát emulačního zařízení. Software i návod k sestavení zařízení pro emulaci karty je volně ke stažení na internetu.

Druhý krok

Čtečka dokáže přečíst Opencard na vzdálenost asi pěti centimetrů i z peněženky v kapse kalhot nic netušící osoby. Dražší čtečky na vzdálenost až 20 centimetrů. Čtečka je nastavená tak, aby četla frekvenci, jakou používá Opencard. Jak ji zjistíte? Jednoduše ze stránek výrobce čipů na internetu.

Třetí krok

Po načtení vyskočí na obrazovce data o kartě. Ta s pomocí programu typu assembler převedete do kódu používaného emulačním zařízením a naprogramujete čip emulátoru. Falešná karta je hotova.

Čtvrtý krok

S emulačním zařízením se "zapípnete" na čtečce terminálu knihovny, který slouží čtenářům k vytištění informací o výpůjčkách. Na výpisu je uvedeno číslo průkazu Opencard, jehož čtyři poslední číslice potřebujeme znát pro přihlášení do systému.

Pátý krok

Nyní se zadáním čtyřčíslí přihlásíte s emulovanou kartou do systému přímo v knihovně. Po přihlášení se zobrazí čtenářovo jméno, seznam vypůjčených knih a e-mail.

Šestý krok

Nyní se nově vytvořeným heslem přihlásíte i na webovky knihovny, kde o majiteli účtu zjistíme následující: jméno a příjmení, datum narození, číslo občanky, poštovní i e-mailovou adresu a číslo mobilu. Celá operace nezabrala ani deset minut.

Jak se tomu bránit?

Nečekejte, až hackeři nastaví v knihovně heslo za vás. Zadejte je sami. K osobním údajům se nedostanou.

Autoři:

Eurovolby 2024

Volby do Evropského parlamentu se v Česku uskuteční v pátek 7. a v sobotu 8. června 2024. Čeští voliči budou vybírat 21 poslanců Evropského parlamentu. Voliči v celé Evropské unii budou rozhodovat o obsazení celkem 720 křesel

  • Nejčtenější

V Baltimoru obří loď zbořila dálniční most. Selhal motor, kolos byl neovladatelný

26. března 2024  8:17,  aktualizováno  27.3 1:10

Aktualizujeme V Baltimoru na východním pobřeží Spojených států se v pondělí zřítil čtyřproudový silniční most, do...

Střelba, výbuchy a požár. Ozbrojenci zabili na okraji Moskvy přes 62 lidí

22. března 2024  18:41,  aktualizováno  23.3

Přímý přenos Nejméně 62 mrtvých, včetně dětí, a 146 zraněných si vyžádal ozbrojený útok v koncertním centru na...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

K útoku u Moskvy se hlásí Islámský stát, teroristé prchli v bílém renaultu

22. března 2024  22:04,  aktualizováno  23.3 7:01

K zodpovědnosti za útok v Krasnogorsku u Moskvy se na ruské sociální síti Telegram přihlásila...

„Ukrajinci to nebyli.“ Islámský stát ukázal video z masakru u Moskvy

24. března 2024  14:47,  aktualizováno  17:17

Islámský stát (IS) prostřednictvím zpravodajské agentury Al-Amaq zveřejnil video z pátečního útoku...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

ANALÝZA: Čtyři Tádžici svlékli Putina do naha. Ten musí něco udělat

25. března 2024

Premium Sotva týden poté, co si Putin zajistil páté prezidentské období, masakr v Moskvě rozbil moderní...

Tajemný pan Pacička z Tábora. Příběh muže, který spojil velké korupční kauzy

29. března 2024

Premium Dlouhá léta byli hlavními tvářemi velkých kauz v Česku kontroverzní podnikatelé z Prahy. Například...

Útok Hamásu byl ozbrojený odpor, řekla ikona feminismu. Ničíte levici, vyčítají jí

29. března 2024

Premium Jedna z nejznámějších feministických autorek, americká filozofka židovského původu z Kalifornské...

Předali si to v Praze. Německý poslanec Bystroň podle BIS přijal peníze od Rusů

28. března 2024  22:03

Německý poslanec strany Alternativa pro Německo Petr Bystroň byl podle české Bezpečnostní...

Vyřizování účtů, nebo ruská vlivová operace? Polské odvolání generála šokuje

28. března 2024  21:10

Varšava náhle odvolala generála Jaroslawa Gromadzińského z prestižní funkce velitele evropského...

FOR KIDS by měl být zážitkem pro celou rodinu, říká Monika
FOR KIDS by měl být zážitkem pro celou rodinu, říká Monika

Monika Pavlíčková (35 let) je maminkou dvou dcer, sedmileté Terezy a čtyřleté Laury, a zároveň také manažerkou obchodního týmu společnosti ABF,...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...

Stále víc hráčů dobrovolně opouští Survivor. Je znamením doby zhýčkanost?

Letošní ročník reality show Survivor je zatím nejkritizovanějším v celé historii soutěže. Může za to fakt, že už...