Hlavní navigace

Bezpečnost dat čtenářů ohrožena kvůli opencard

10. 6. 2010

[Tisková zpráva] Osobní data čtenářů, kteří využívají v Městské knihovně v Praze opencard namísto tradičního čtenářského průkazu, jsou ohrožena. Nevládní organizace Iuridicum Remedium dnes upozornila, že v zabezpečení dat na opencard existuje závažný nedostatek, který útočníkovi umožňuje "odcizit" elektronickou identitu uživatele karty a zjistit také jeho další osobní data. Tento nedostatek byl zjištěn právě v době, kdy je na využívání opencard nucena přistoupit pražská školní populace.

Nevládní organizace Iuridicum Remedium (www.iure.org) se řadu let zabývá ochranou osobních údajů především v souvislosti se zaváděním nových technologií. Již v dubnu 2007 IuRe upozornilo, že na bezkontaktním čipu karty opencard je bezdůvodně umístěná řada osobních údajů, které držitel odevzdal při registraci (jméno, příjmení, pohlaví, datum narození.). Čip karty byl navíc nedostatečně zabezpečen, neboť přístupový klíč pro ochranu uvedených údajů byl nastaven na takzvanou veřejnou hodnotu, která je všeobecně známa a běžně dostupná například na internetu.

Magistrát následně přistoupil na výzvu IuRe k výměně celého čipu za model, který lépe splňuje bezpečnostní požadavky moderní elektronické společnosti. Deklaroval také odstoupení od praxe uchovávání osobních údajů na čipu karty v nezašifrované podobě – zůstává pouze datum narození držitele, údajně kvůli ověření věku žadatele o slevový kupón PID.

V současné době IuRe usiluje o zavedení anonymních karet opencard za nedi! skriminačních podmínek pro uživatele, staví se proti prodeji databáze získaných osobních údajů (kmene držitelů) komerčním subjektům a proti plánu na zavádění turniketů v pražském metru, které by RFID karty využívaly.

V souvislosti s prověřováním bezpečnosti aplikací umístněných v současné době na kartě, bylo Iure vážně znepokojeno aktuálním zjištěním prezentovaným kryptologem Tomášem Rosou. V přednášce na téma Vybrané aspekty bezpečnosti RFID konané 17. května 2010 na semináři Ústavu telekomunikací FEKT VUT v Brně kryptolog uvedl, že z karet opencard založených na čipech MIFARE DESFire využívaných knihovnou je možné přes rádiové rozhraní bez vědomí držitele získat volně dostupná identifikační data, která lze následně pomocí jednoduchého emulátoru zadat do čteček na pobočkách Městské knihovny. Pokud čtenář postižený touto krádeží identity nemá aktivované doplňkové přihlašovací heslo (což podle našich zjištění řada čtenářů nemá), získává útočník přístup k celému souboru os! obních dat čtenáře i k využívání některých služeb.

IuRe ty! to infor mace ověřilo a může tak potvrdit, že zabezpečení dat skutečně obsahuje výše popsanou slabinu, která útočníkovi umožňuje přístup k osobním datům původního držitele i k některým službám. Tento fakt alarmující o to více, že od 13. června 2010 lze zakoupit časové předplatní jízdenky tarifních kategorií Dítě (10–15 let) a Junior (15–19 let) již pouze na opencard. To nepochybně také povede k vynucenému rozšířenému využívání opencard v Městské knihovně mezi dětmi a mládeží. V ohrožení se tak ocitnou data nejvíce zranitelné části populace.

Nevládní organizace se proto obrátila na ředitele Městské knihovny Tomáše Řeháka se žádostí o okamžité informování držitelů karty o existujícím nebezpečí a podniknutí dalších nezbytných opatření k odstranění mezery v zabezpečení dat. Zároveň také umístila na stránky www.slidilove.cz varování uživatelům opencard.

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla