Zpět
04.03.2008 Neplaťte čipovými kartami u obchodníků, mohli byste na to doplatit
Ve spoustě zemí včetně České republiky banky nutí uživatele nově vydávaných čipových karet zadávat PIN pro potvrzení každé platby u obchodníka. Nevadilo by to, pokud by k tomu byl použit důvěryhodný terminál vlastněný uživatelem karty (např. aplikace v mobilu), nebo jednorázový PIN, např. RSA token nebo jednorázový kód zasílaný pomocí SMS. Banky se však rozhodly ušetřit na úkor bezpečnosti svých zákazníků a nutí je zadávat statický PIN na cizí klávesnici čipového terminálu. Přitom pradávná bezpečnostní zásada je, že na cizí klávesnici se nikdy nemají vkládat citlivé informace.Tým odborníků z Univerzity v Cambridge nedávno prokázal, že navzdory tvrzením bank jsou čipové terminály vlastněné obchodníky nedostatečně zabezpečené. Praktickým způsobem (tedy levně a rychle) lze zkompromitovat přinejmenším některé běžně používané terminály a získat z vložených karet PIN a údaje o kartě a účtu uživatele. Tyto údaje lze pak např. použít k vytvoření klonované karty s magnetickým proužkem a díky znalosti PINu pak vybírat peníze z bankomatů v zahraničí.
Dokument zmiňuje i několik dalších jednodušších způsobů, jak získat zákazníkův PIN, který pak lze zneužít, pokud útočník použitou kartu dokáže ukrást.
Potvrzuje se tak podezření, že čipové karty se statickým PINem jsou bezpečné pouze z hlediska bank, kterým použití PINu při zneužití ukradené nebo klonované karty umožňuje zbavit se zodpovědnosti tvrzením, že PIN musel být vyzrazen zákazníkem.
Z hlediska zákazníků čipové karty představují zvýšené riziko a jejich používání pro platby u obchodníků vybavených čipovým terminálem nelze doporučit.
-had-
05.02.2012 Šifrování komunikace satelitních telefonu prolomeno
29.01.2012 Spoločnosť Symantec varuje zákazníkov pred použitím vlastného produktu
29.01.2012 Zraniteľnosť v zariadeniach Cisco IronPort
23.01.2012 Oprava bezpečnostnej chyby v OpenSSL obsahuje kritickú zraniteľnosť
07.01.2012 Zranitelnost v zabezpečení většiny wifi routerů
26.11.2011 Zneužití telefonu k odezírání textu psaného na PC
21.11.2011 Anonymní internetový "hippíci" broja proti Adobe Flash Player Plugin
21.11.2011 Vážne pochybenia v zabezpečení RealPlayer
21.11.2011 Havárie serverů BIND 9
04.11.2011 Ze služby Facebook ukradena data
