Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu

Podívejte se, jak lze do 10 minut získat údaje z cizí Opencard

  15:32aktualizováno  18:51
Opencard má potíže se zabezpečením. Pokud je její držitel zaregistrován jako čtenář v Městské knihovně, pomocí čtečky je možné si z jeho karty stáhnout osobní údaje. Jak upozornil deník Metro, stačí zařízení přiložit majiteli ke kapse, kde kartu má. Vlastník čtečky se k údajům z karty dostane do deseti minut.

Redaktoři spolu s Petrem Kučerou ze sdružení Iuridicum Remedium, které poukazuje na špatnou ochranu osobních údajů, na konci prosince zkusili, jak snadné je z karty data získat.

"Máte vypůjčenou knihu Vagína od C. Blackledgeové," hlásí Petr Kučera. A to jen deset minut poté, co si na svou čtečku stáhl informace z redaktorovy Opencard.

Petr Kučera přinesl malou elektronickou čtečku a přiložil ji ke kapse kalhot redaktora, kde kartu měl. To může udělat kdokoliv komukoli, třeba v metru či tramvaji. Za pár vteřin se do jeho přístroje přenesou informace.

Poté stačí zajít například do Městské knihovny na Mariánském náměstí. Petr Kučera to udělal.

Během pěti minut znal číslo karty, za další dvě jméno, e-mail a také informace o tom, co redaktor čte a četl. A do deseti minut znal i jeho další osobní údaje s výjimkou rodného čísla.

Úřad na ochranu osobních údajů je zděšen

Ten, kdo má Opencard aktivovanou i pro výpůjčky z Městské knihovny, by tak měl zpozornět. Sdružení Iuridicum Remedium na bezpečnostní díru Opencard upozornilo už v červnu.

Knihovna sice přijala určité opatření, evidentně to ale nestačilo. "V reakci na náš první útok knihovna zavedla opatření, kdy musíte uvést pro přihlášení čtyři poslední číslice ze své Opencard. Tudíž teoreticky by nebylo možné krádež dat uskutečnit bezkontaktně, potřebujete k tomu kartu vidět," říká Kučera.

Jak se ale redaktor mohl přesvědčit, bezpečnostní opatření padla během chvilky. Cesta od okamžiku, kdy si Kučera čtečkou sehnal prvotní informace, k tomu, kdy o redaktorovi znal téměř vše, trvala pár minut.

Přitom přístroje k této krádeži dat lze dnes na internetu pořídit za pár stovek. Znát tituly knih, které si člověk vypůjčil, se zdá vcelku nevinné. Ovšem podle vyjádření Úřadu pro ochranu osobních údajů je už i tohle velký zásah do soukromí.

"Očekáváme, že deník Metro nebo Iuridicum Remedium podají stížnost, která bude obsahovat konkrétnější informace," okomentovala výsledek akce mluvčí úřadu Hana Štěpánková.

Chyba není v Opencard, říká její mluvčí

Podle mluvčího karty Opencard Martina Opatrného je systém naprosto bezpečný. "To, k čemu došlo v Městské knihovně, nebylo prolomení systému Opencard, ale odhalení bezpečnostní mezery vnitřního systému knihovny. A podotýkám, že tato mezera se ještě navíc týkala čtenářů, kteří neměli svůj účet v knihovně chráněný heslem," řekl iDNES.cz.

VYJÁDŘENÍ MAGISTRÁTU K ZABEZPEČENÍ KARTY OPENCARD SI PŘEČTĚTE ZDE

Podle Opatrného už došlo k nápravě zabezpečení. To spočívá v tom, že na knihomatech na některých pobočkách knihoven se již nezobrazuje číslo karty, které bylo možné zneužít.

Existuje ještě jiný způsob, jak si v Městské knihovně osobní údaje ochránit? Ano, nastavte si pro přihlášení na Opencard heslo. To ani ti největší piráti dat neprolomí. Zatím.

JAK STÁHL "AJŤÁK" ÚDAJE Z KARTY

První krok

Na internetu si za částku kolem dvou tisíc korun pořídíte čtečku karet. Dále potřebujete počítač s připojením na internet, software, který přes čtečku informace o kartě přečte a upraví pro formát emulačního zařízení. Software i návod k sestavení zařízení pro emulaci karty je volně ke stažení na internetu.

Druhý krok

Čtečka dokáže přečíst Opencard na vzdálenost asi pěti centimetrů i z peněženky v kapse kalhot nic netušící osoby. Dražší čtečky na vzdálenost až 20 centimetrů. Čtečka je nastavená tak, aby četla frekvenci, jakou používá Opencard. Jak ji zjistíte? Jednoduše ze stránek výrobce čipů na internetu.

Třetí krok

Po načtení vyskočí na obrazovce data o kartě. Ta s pomocí programu typu assembler převedete do kódu používaného emulačním zařízením a naprogramujete čip emulátoru. Falešná karta je hotova.

Čtvrtý krok

S emulačním zařízením se "zapípnete" na čtečce terminálu knihovny, který slouží čtenářům k vytištění informací o výpůjčkách. Na výpisu je uvedeno číslo průkazu Opencard, jehož čtyři poslední číslice potřebujeme znát pro přihlášení do systému.

Pátý krok

Nyní se zadáním čtyřčíslí přihlásíte s emulovanou kartou do systému přímo v knihovně. Po přihlášení se zobrazí čtenářovo jméno, seznam vypůjčených knih a e-mail.

Šestý krok

Nyní se nově vytvořeným heslem přihlásíte i na webovky knihovny, kde o majiteli účtu zjistíme následující: jméno a příjmení, datum narození, číslo občanky, poštovní i e-mailovou adresu a číslo mobilu. Celá operace nezabrala ani deset minut.

Jak se tomu bránit?

Nečekejte, až hackeři nastaví v knihovně heslo za vás. Zadejte je sami. K osobním údajům se nedostanou.

Autoři:






Hlavní zprávy

Další z rubriky

Stavba dálnice D8 v Prackovicích nad Labem.
Ústavní stížnost míří na část stavebního zákona, která omezuje spolky

Nedávno přijatá novela stavebního zákona míří k Ústavnímu soudu. Stížnost podává sedmnáct senátorů. Napadají tu část novely, která ruší možnost účasti spolků...  celý článek

Farář Kazimierz Plachta v ruinách shořelého dřevěného kostela Božího těla v...
Farář z vypáleného kostela poslal obviněným dopis. Odpouštím vám, píše

Dopis plný duchovního odpuštění a naděje do budoucnosti poslal farář zničeného kostelíku v Gutech na Třinecku dvěma mladým mužům, kteří jsou ze zapálení...  celý článek

Sníh - děti - sáňky - volný čas - zábava
Jarní prázdniny 2018

Týdenní jarní prázdniny jsou na základních a středních školách v roce 2018 rozloženy v termínech od 5. února do 18. března. Přinášíme úplný přehled...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.