Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu

Podívejte se, jak lze do 10 minut získat údaje z cizí Opencard

  15:32aktualizováno  18:51
Opencard má potíže se zabezpečením. Pokud je její držitel zaregistrován jako čtenář v Městské knihovně, pomocí čtečky je možné si z jeho karty stáhnout osobní údaje. Jak upozornil deník Metro, stačí zařízení přiložit majiteli ke kapse, kde kartu má. Vlastník čtečky se k údajům z karty dostane do deseti minut.

Redaktoři spolu s Petrem Kučerou ze sdružení Iuridicum Remedium, které poukazuje na špatnou ochranu osobních údajů, na konci prosince zkusili, jak snadné je z karty data získat.

"Máte vypůjčenou knihu Vagína od C. Blackledgeové," hlásí Petr Kučera. A to jen deset minut poté, co si na svou čtečku stáhl informace z redaktorovy Opencard.

Petr Kučera přinesl malou elektronickou čtečku a přiložil ji ke kapse kalhot redaktora, kde kartu měl. To může udělat kdokoliv komukoli, třeba v metru či tramvaji. Za pár vteřin se do jeho přístroje přenesou informace.

Poté stačí zajít například do Městské knihovny na Mariánském náměstí. Petr Kučera to udělal.

Během pěti minut znal číslo karty, za další dvě jméno, e-mail a také informace o tom, co redaktor čte a četl. A do deseti minut znal i jeho další osobní údaje s výjimkou rodného čísla.

Úřad na ochranu osobních údajů je zděšen

Ten, kdo má Opencard aktivovanou i pro výpůjčky z Městské knihovny, by tak měl zpozornět. Sdružení Iuridicum Remedium na bezpečnostní díru Opencard upozornilo už v červnu.

Knihovna sice přijala určité opatření, evidentně to ale nestačilo. "V reakci na náš první útok knihovna zavedla opatření, kdy musíte uvést pro přihlášení čtyři poslední číslice ze své Opencard. Tudíž teoreticky by nebylo možné krádež dat uskutečnit bezkontaktně, potřebujete k tomu kartu vidět," říká Kučera.

Jak se ale redaktor mohl přesvědčit, bezpečnostní opatření padla během chvilky. Cesta od okamžiku, kdy si Kučera čtečkou sehnal prvotní informace, k tomu, kdy o redaktorovi znal téměř vše, trvala pár minut.

Přitom přístroje k této krádeži dat lze dnes na internetu pořídit za pár stovek. Znát tituly knih, které si člověk vypůjčil, se zdá vcelku nevinné. Ovšem podle vyjádření Úřadu pro ochranu osobních údajů je už i tohle velký zásah do soukromí.

"Očekáváme, že deník Metro nebo Iuridicum Remedium podají stížnost, která bude obsahovat konkrétnější informace," okomentovala výsledek akce mluvčí úřadu Hana Štěpánková.

Chyba není v Opencard, říká její mluvčí

Podle mluvčího karty Opencard Martina Opatrného je systém naprosto bezpečný. "To, k čemu došlo v Městské knihovně, nebylo prolomení systému Opencard, ale odhalení bezpečnostní mezery vnitřního systému knihovny. A podotýkám, že tato mezera se ještě navíc týkala čtenářů, kteří neměli svůj účet v knihovně chráněný heslem," řekl iDNES.cz.

VYJÁDŘENÍ MAGISTRÁTU K ZABEZPEČENÍ KARTY OPENCARD SI PŘEČTĚTE ZDE

Podle Opatrného už došlo k nápravě zabezpečení. To spočívá v tom, že na knihomatech na některých pobočkách knihoven se již nezobrazuje číslo karty, které bylo možné zneužít.

Existuje ještě jiný způsob, jak si v Městské knihovně osobní údaje ochránit? Ano, nastavte si pro přihlášení na Opencard heslo. To ani ti největší piráti dat neprolomí. Zatím.

JAK STÁHL "AJŤÁK" ÚDAJE Z KARTY

První krok

Na internetu si za částku kolem dvou tisíc korun pořídíte čtečku karet. Dále potřebujete počítač s připojením na internet, software, který přes čtečku informace o kartě přečte a upraví pro formát emulačního zařízení. Software i návod k sestavení zařízení pro emulaci karty je volně ke stažení na internetu.

Druhý krok

Čtečka dokáže přečíst Opencard na vzdálenost asi pěti centimetrů i z peněženky v kapse kalhot nic netušící osoby. Dražší čtečky na vzdálenost až 20 centimetrů. Čtečka je nastavená tak, aby četla frekvenci, jakou používá Opencard. Jak ji zjistíte? Jednoduše ze stránek výrobce čipů na internetu.

Třetí krok

Po načtení vyskočí na obrazovce data o kartě. Ta s pomocí programu typu assembler převedete do kódu používaného emulačním zařízením a naprogramujete čip emulátoru. Falešná karta je hotova.

Čtvrtý krok

S emulačním zařízením se "zapípnete" na čtečce terminálu knihovny, který slouží čtenářům k vytištění informací o výpůjčkách. Na výpisu je uvedeno číslo průkazu Opencard, jehož čtyři poslední číslice potřebujeme znát pro přihlášení do systému.

Pátý krok

Nyní se zadáním čtyřčíslí přihlásíte s emulovanou kartou do systému přímo v knihovně. Po přihlášení se zobrazí čtenářovo jméno, seznam vypůjčených knih a e-mail.

Šestý krok

Nyní se nově vytvořeným heslem přihlásíte i na webovky knihovny, kde o majiteli účtu zjistíme následující: jméno a příjmení, datum narození, číslo občanky, poštovní i e-mailovou adresu a číslo mobilu. Celá operace nezabrala ani deset minut.

Jak se tomu bránit?

Nečekejte, až hackeři nastaví v knihovně heslo za vás. Zadejte je sami. K osobním údajům se nedostanou.

Autoři:


Hlavní zprávy

Nejčtenější

Dvanáctiletý chlapec se nebál říct pravdu. Zachránil tím kamarádovi život

Dvanáctiletý Jaroslav Šísl (vpravo) zachránil život o rok mladšího kamaráda...

Dvanáctiletý Jaroslav Šísl pomohl zachránit život svého o rok mladšího kamaráda Jiřího Kadlece, který si při pádu těžce...

Na Manhattanu explodovala trubková nálož, útočil Bangladéšan

Newyorská policie zasahuje na Manhattanu, kde je hlášena exploze (11. prosince...

Newyorská policie zasahuje na Manhattanu, kde vybuchla nálož. Lékaři ošetřili čtyři zraněné. Výbuch zranil i muže,...



Severokorejské lodě duchů připlouvají k Japonsku, jsou symbolem bídy KLDR

Jeden ze člunů, které v uplynulých týdnech připluly k pobřeží Japonska.

Kritický nedostatek potravin a zahraniční měny přispívá k tomu, že je na pobřeží Japonska vyplavováno stále více silně...

VIDEO: Skladníci obklíčili ujíždějící zloděje vysokozdvižnými vozíky

Skladníci v akci. Zloděje obklíčili vozíky

Zaměstnanci ostravské prodejny stavebnin společnými silami zadrželi trojici zlodějů, která se pokusila vykrást...

Němečtí piloti se bouří. Odmítají létat s deportovanými migranty

Do Afghánistánu se vrátila skupina 34 běženců, kteří byli deportováni z...

Piloti po celém Německu odmítají odvážet neúspěšné žadatele o azyl zpátky domů. Vadí jim zejména létání s migranty do...



Další z rubriky

Zeman jmenoval Babišovu vládu. Přeje si, aby získala důvěru do února

Prezident Miloš Zeman na Hradě jmenuje vládu Andreje Babiše. (13. prosince 2017)

Vláda Andreje Babiše poprvé zasedla. Vicepremiéry byli zvolení ministr zahraničních věcí Martin Stropnický a ministr...

Z kluziště u Jošta musel zmizet reklamní vůz, vadil brněnským památkářům

Bruslaře při slavnostním zahájení ve středu 6. prosince překvapilo, že kromě...

Z kluziště na Moravském náměstí v Brně v noci zmizel vystavený mercedes a spolu s ním i reklamní nápisy. Radnici...

Plán pro využití věznice v Hradišti je hotový, přesun soudu jistý není

Uherské Hradiště bylo v 50. letech místem, kde dozorci brutálně týrali...

Dlouho vyhlížená proměna bývalého justičního paláce a věznice v Uherském Hradišti se blíží. Vybraná firma dokončila...

11 dětských dárků, které vám na Boží hod nepolezou krkem
11 dětských dárků, které vám na Boží hod nepolezou krkem

Jaké vánoční dárky pro děti vybrat, aby jim dělaly radost dlouhé týdny (a vám se vyhnula migréna)?



Najdete na iDNES.cz