Zpět
04.03.2008 Neplaťte čipovými kartami u obchodníků, mohli byste na to doplatit
Ve spoustě zemí včetně České republiky banky nutí uživatele nově vydávaných čipových karet zadávat PIN pro potvrzení každé platby u obchodníka. Nevadilo by to, pokud by k tomu byl použit důvěryhodný terminál vlastněný uživatelem karty (např. aplikace v mobilu), nebo jednorázový PIN, např. RSA token nebo jednorázový kód zasílaný pomocí SMS. Banky se však rozhodly ušetřit na úkor bezpečnosti svých zákazníků a nutí je zadávat statický PIN na cizí klávesnici čipového terminálu. Přitom pradávná bezpečnostní zásada je, že na cizí klávesnici se nikdy nemají vkládat citlivé informace.Tým odborníků z Univerzity v Cambridge nedávno prokázal, že navzdory tvrzením bank jsou čipové terminály vlastněné obchodníky nedostatečně zabezpečené. Praktickým způsobem (tedy levně a rychle) lze zkompromitovat přinejmenším některé běžně používané terminály a získat z vložených karet PIN a údaje o kartě a účtu uživatele. Tyto údaje lze pak např. použít k vytvoření klonované karty s magnetickým proužkem a díky znalosti PINu pak vybírat peníze z bankomatů v zahraničí.
Dokument zmiňuje i několik dalších jednodušších způsobů, jak získat zákazníkův PIN, který pak lze zneužít, pokud útočník použitou kartu dokáže ukrást.
Potvrzuje se tak podezření, že čipové karty se statickým PINem jsou bezpečné pouze z hlediska bank, kterým použití PINu při zneužití ukradené nebo klonované karty umožňuje zbavit se zodpovědnosti tvrzením, že PIN musel být vyzrazen zákazníkem.
Z hlediska zákazníků čipové karty představují zvýšené riziko a jejich používání pro platby u obchodníků vybavených čipovým terminálem nelze doporučit.
-had-
29.07.2010 Vyhledávač Google korunován na “krále malware “
28.07.2010 Zranitelnost IBM Tivoli Directory Server DB2
27.07.2010 Napadení počítačů skrz kritickou chybu ve Windows
23.07.2010 Zneužití osobních dat přes prohlížeč Safari
22.07.2010 Mozilla Firefox update
21.07.2010 Chyba může vystavit miliony uživatelů útokům
21.07.2010 Apple iTunes, zranitelnost Buffer Overflow
14.07.2010 Počet bezpečnostných chýb prudko stúpa; Apple na prvom mieste
13.07.2010 HP Virtual Connect Enterprise Manager, Validace vstupu a Cross-Site scripting
10.07.2010 Drupal, Cross Site Scripting zranitelnosti
