Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu

Manipulovat s Plzeňskou kartou se nevyplatí, míní provozovatel systému

aktualizováno  0:32
Plzeňské městské dopravní podniky vědí, že lze s Plzeňskou kartou manipulovat. Od počátku provozu ale firma zaznamenala jen deset případů, kdy musela kartu zablokovat. Manipulace s elektronickou peněženkou se podle ní nevyplatí.

Manipulace s elektronickou peněženkou Plzeňské karty se podle dopravních podniků nevyplatí | foto: iDNES.cz

Za snahou ukázat na bezpečnostní chybu tak šéf projektu Plzeňská karta Vladimír Kvarda vidí spíše snahu o diskreditaci. Plzeňské městské dopravní podniky (PMDP) totiž manipulovanou kartu během několika dní zablokují.

Stačí šikovný mobil a v Plzni budete jezdit zadarmo

Díky mobilu s NFC lze snadno manipulovat s kreditem Plzeňské karty

Díky rychlosti takového zjištění je pak podle Kvardy téměř vyloučeno, aby někdo manipulací s kreditem v elektronické peněžence získal výrazný finanční profit. "Plzeňská jízdenka, na které jste problém demonstrovali, je již od 14.4.2011 na seznamu zakázaných karet, a to právě díky neoprávněným transakcím z 10.4.2011," nastínil pružnost systému Kvarda.

Jak lze s kartou manipulovat?

1. lze číst bez vědomí uživatele osobní údaje z karty (datum narození, jméno uživatele, číslo karty)

2. lze neomezeně manipulovat s kreditem v elektronické peněžence (nabíjet, mazat atp.)

3. lze kartu bez vědomí uživatele deaktivovat a tím dočasně znehodnotit

Za pokusy o zmanipulování dat uložených na kartě a následnou medializací vidí spíše konkurenční snahu o získání výhody na trhu, případně lobby některé z technologických firem. "Jsme nejspíše svědky prostého konkurenčního boje (...), v současné době totiž probíhá jedna významná zakázka na dodávku a provozování kartového systému jednoho z krajů a PMDP se jí účastní," dodal.

O prolomení karet víme, není to ale jen o nich

Firma ví o prolomení technologie Mifare Classic, kterou Plzeňská karta a jízdenka používají. První takový případ zaznamenala v roce 2009 a ihned o něm informovala na svých stránkách. Od počátku fungování projektu pak zaznamenala jen deset pokusů o manipulaci s ní. Letos takto zablokovala šest karet, námi použitá jízdenka k demonstraci problému byla jubilejní desátá.

"Bezpečnost systému není založena pouze na zabezpečení čipové karty, ale její stěžejní část je v zúčtovacích systémech mimo vlastní čipovou kartu," vysvětluje Kvarda. Pokud tedy útočník zmanipuluje kredit uvedený na kartě, dostane jej do nesouladu se zůstatkem karty v zúčtovacím systému, což má za následek její zablokování a kontaktování jejího držitele, dodal.

Škody, které takto manipulované karty firmě způsobily, jsou prý minimální. "Úhrnem znamenají škodu na jízdném v řádu stovek korun," tvrdí Kvarda. I proto firma nevidí důvod, proč urychlit přechod na novější technologii Mifare DESFire, která je dnes považována za bezpečnou. Ten plánuje na rok 2013.

Na zabezpečení karet před vandaly máme pouzdro

"Zde si je třeba uvědomit, že přechod na novou technologii čipových karet není jenom o vydávání nových karet, ale je to zejména o na kartu navazujících systémech. S počtem navazujících systémů roste investiční náročnost přechodu na novou technologii," vysvětluje postoj firmy šéf Plzeňské karty.

Navíc upozorňuje, že při přechodu je nutné pracovat s rizikem, že dříve než bude celý systém dokončen, dojde k  prolomení i nové čipové technologie. "Proto musí bezpečnost systému multifunkčních čipových karet mít své těžiště mimo vlastní čipovou kartu, stejně jako je tomu v systémech bankovních karet," dodal.

Z pohledu dalšího rizika, které je s prolomením zabezpečení karty spojeno, tedy možnost čtení osobních údajů z karty, má firma jednoduché řešení: "PMDP mají v nabídce speciální bezpečnostní pouzdro na čipovou kartu, které naprosto spolehlivě zamezuje jakýmkoli manipulacím s daty na kartě i čtení dat z nich."

Divné pohnutky aneb Proč s kartou manipulovat?

Ing. Vladimír Kvarda, ředitel úseku Plzeňská karta, odhaduje účely manipulace s daty na kartě. Zjevné pohnutky útočníka jsou podle něj následující:

a) Chce se obohatit a používat elektronické peníze neoprávněně nahrané na kartu k úhradě (nebo tak bude činit někdo jemu známý). Pak se dopouští trestného činu. I v případě, že se jej nepodaří odhalit, karta mu bude ze strany vydavatele karty oprávněně zablokována. A protože jde o kartu určenou pro mikroplatby, zjistí, že se mu její napadání ekonomicky nevyplatí (poměr ceny karty a využití neoprávněně nahraných peněz).

b) Chce poškodit jiné osoby, např. při cestě MHD, protože z toho má dobrý pocit (pocit důležitosti, radost z poškození někoho jiného apod.). Poškození držitelé karet pak zjistí, že jim někdo s kartou manipuloval, nahlásí to na PMDP a na kartu jim bude následně vrácen zdarma jejich skutečný zůstatek elektronických peněz. Tj. jde o vandalismus - záměrné poškozování cizí věci, a protože je pro takovou "zábavu" nutná vzdálenost mezi čtečkou čipových karet (což může být i mobilní telefon s NFC) a čipovou kartou do 10 cm, bude takový útočník poměrně nápadný.

c) Chce poškodit dobré jméno vydavatele karty, aby z toho pro sebe mohl získat prospěch (chce pro vydavatele implementovat nový systém nebo mu nabídnout lepší zabezpečení, chce pro sebe získat konkurenční výhodu, tj. např. zpochybnit obchodní aktivity vydavatele karty apod.).  Právě tento důvod je nejčastějším důvodem proč zejména IT firmy upozorňují na nebezpečnost starších řešení.

Autor:




Nejčtenější

Vertu Constellation X
Luxusní smartphony Vertu budou mít technologii od výrobce alcatelů

Luxusní značka smartphonů a mobilních telefonů Vertu změnila majitele a s tím přicházejí i další změny. Nově budou jedny z nejdražších chytrých telefonů...  celý článek

Apple získal patent na čtečku otisků prstů ve vypínacím tlačítku.
Apple si patentoval čtečku otisků ve vypínacím tlačítku, Sony už ji má

U chystaného iPhonu 8 (iPhonu X) se stále spekuluje o umístění čtečky otisků přímo do displeje. Senzor však možná najde místo jinde - ve vypínacím tlačítku.  celý článek

BlackBerry KEYone s mechanickou klávesnicí je jediným přístrojem svého druhu
BlackBerry má problém. Displej KEYone se lehce oddělí od těla přístroje

BlackBerry KEYone sklízí v zahraničních testech slova chvály, mluví se o něm jako o vydařeném smartphonu a jasné volbě pro příznivce rychlého psaní. Známý...  celý článek

iPhone 7 Plus
Pořiďte na dovolené lepší fotky pomocí mobilů s dvěma fotoaparáty

Čas letních dovolených nadešel a snad každý si chce ze své cesty přinést alespoň pár fotek na památku. Vybrali jsme mobily s dvěma fotoaparáty, které vám v...  celý článek

LG G6
Test LG G6: korejský otloukánek se vrací do extratřídy

Společnosti LG se v poslední době nedaří. I přes velké ambice nedokáže globálně zaútočit na nejvyšší pozice. Po povedeném modelu G4 to loni zkusila s...  celý článek

Další z rubriky

Ještě před nedávnem se stály fronty na žhavé novinky Applu, teď se tvoří kvůli...
Nedávno se takto čekalo na iPhony, teď se stojí fronty na mobil z Číny

Mobilní fanoušky nadšení pro několikahodinové čekání na horké novinky neopouští, namísto Applu je k tomu ovšem naposledy vyburcoval nový čínský supersmartphone.  celý článek

Klikací farma s 500 smartphony v Thajsku
Policie zabavila 350 tisíc SIM karet. Sloužily na „klikací farmě“

Policie v Thajsku zadržela tři muže z Číny, kteří poblíž hranic s Kambodžou provozovali tzv. „klikací farmu“, přes kterou zajišťovali „lajky“ pro produkty na...  celý článek

Android O
Máte zastaralý Android? Google má řešení pro rychlejší aktualizace

Google často kritizujeme za to, že nedokáže zajistit rychlé a pravidelné aktualizace operačního systému na nejrůznějších zařízeních. S novou verzí označovanou...  celý článek

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.