Ἡ Τράπεζα EUROBANK ἀνακοίνωσε ἐδῶ καὶ λίγο
καιρὸ στὴν ἰστοσελίδα της
(ΕΔΩ) τὶς νέες πιστωτικὲς κάρτες τῆς τεχνολογίας PayPass ἢ στὰ ἑλληνικὰ
«ἀνέπαφων συναλλαγῶν». Ἤδη τηλεοπτικὴ διαφήμιση μίας ἀπὸ τὶς ἐν λόγω
κάρτες προβάλλεται καὶ στὴν τηλεόραση
(ΕΔΩ). Πέραν τῆς τηλεοπτικῆς διαφημίσεως ἡ ἐν λόγω
τράπεζα προωθεῖ τὶς συγκεκριμένες κάρτες της καὶ μὲ ἄλλες προωθητικὲς ἐνέργειες
ὅπως μεταξὺ ἄλλων «ἕνα μεγάλο πὸπ κὸρν» δωρεὰν
(ΕΔΩ). Ἐπίσης στὶς ἀνωτέρω ἰστοσελίδες δίδονται καὶ
ἄλλες πληροφορίες σχετικὰ μὲ τὴν τεχνολογία Pay Pass καθὼς καὶ ἀπαντήσεις σὲ
διάφορες ὑποθετικὲς ἐρωτήσεις.
Συμπληρωματικὰ σὲ ὅσες πληροφορίες ἀναφέρονται
ἐκεῖ ὡς Ἑνωμένη Ρωμηοσύνη θὰ θέλαμε νὰ ἐπισημάνουμε καὶ τὰ ἀκόλουθα:
1) Ἡ τεχνολογία PayPass σημαίνει ὅτι οἱ κάρτες μὲ τὴν τεχνολογία αὐτὴ περιέχουν rfid chip. (βλ. μεταξὺ ἄλλων ἐδῶ καὶ ἐδῶ)
2) Οἱ κάρτες αὐτὲς εἶναι τοῦ τεχνολογικοῦ πρότυπου (στάνταρντ) ISO/IEC 14443 τῆς ἴδιας δηλαδὴ τεχνολογίας -μὲ chip rfid- ποὺ χρησιμοποιοῦν μεταξὺ ἄλλων τὰ βιομετρικὰ διαβατήρια καὶ ἡ Γερμανικὴ Κάρτα τοῦ Πολίτη. Νὰ ἀναφέρουμε ἐδῶ ὅτι στὰ Βρετανικὰ διαβατήρια μὲ τὴν ἐν λόγω τεχνολογία οἱ κωδικοὶ ἀσφαλείας «ἔσπασαν» σὲ....
1) Ἡ τεχνολογία PayPass σημαίνει ὅτι οἱ κάρτες μὲ τὴν τεχνολογία αὐτὴ περιέχουν rfid chip. (βλ. μεταξὺ ἄλλων ἐδῶ καὶ ἐδῶ)
2) Οἱ κάρτες αὐτὲς εἶναι τοῦ τεχνολογικοῦ πρότυπου (στάνταρντ) ISO/IEC 14443 τῆς ἴδιας δηλαδὴ τεχνολογίας -μὲ chip rfid- ποὺ χρησιμοποιοῦν μεταξὺ ἄλλων τὰ βιομετρικὰ διαβατήρια καὶ ἡ Γερμανικὴ Κάρτα τοῦ Πολίτη. Νὰ ἀναφέρουμε ἐδῶ ὅτι στὰ Βρετανικὰ διαβατήρια μὲ τὴν ἐν λόγω τεχνολογία οἱ κωδικοὶ ἀσφαλείας «ἔσπασαν» σὲ....
λιγότερο ἀπὸ 48 ὧρες. (βλ. ἐδῶ)
Στὴν διπλανή φωτογραφία μίας Αὐστραλιανῆς ἡμιδιάφανης κάρτας paypass φαίνεται τὸ rfid chip καὶ ἡ κεραία του.
Στὴν διπλανή φωτογραφία μίας Αὐστραλιανῆς ἡμιδιάφανης κάρτας paypass φαίνεται τὸ rfid chip καὶ ἡ κεραία του.
3) Ἐπίσης οἱ κάρτες αὐτὲς εἶναι τῆς κατηγορίας
EMV, γιὰ τὶς ὁποῖες ὅμως ἐγείρονται σοβαρὰ ζητήματα ἀσφαλείας.
Μεταξὺ ἄλλων νὰ ἀναφέρουμε ὅτι οἱ ἐρευνητὲς
τοῦ Πανεπιστημίου τοῦ Κέιμπριτζ Steven Murdoch καὶ Saar Drimer ἔχουν καταδείξει
τὰ προβλήματα τῆς συγκεκριμένης τεχνολογίας ἡ ὁποία -σύμφωνα μὲ τὰ λεγόμενά
τους- «εἶναι τόσο ἁπλὴ ποὺ τοὺς σοκάρισε». Σύμφωνα μὲ τὶς ἐπιστημονικὲς
ἀνακοινώσεις τους, αὐτοὶ ποὺ θὰ ἤθελαν νὰ ἐκμεταλλευτοῦν τὶς ἀδυναμίες τοῦ
συγκεκριμένου συστήματος ἀρκεῖ νὰ ἔχουν προπτυχιακὲς γνώσεις ἠλεκτρονικῶν –
γνώσεις ποὺ ἀπὸ παλαιότερες ἐπιθέσεις ἔχει ἀποδειχθεῖ πὼς εἶναι κτῆμα ὅσων
ἀσχολοῦνται μὲ τὸ ἠλεκτρονικὸ ἔγκλημα. Τὸ θέμα ἀποτέλεσε καὶ ἀντικείμενο τῆς
ἐκπομπῆς Newsnight τοῦ BBC τὴν ὁποία, ὅσοι γνωρίζουν ἀγγλικά, μποροῦν νὰ δοῦν
ἐδῶ
Ἀλλὰ καὶ ἄλλοι ἐπιστήμονες ἔχουν καταδείξει
προβλήματα στὴ συγκεκριμένη τεχνολογία ὅπως οἱ Andrea Barisani, Daniele Bianco,
Adam Laurie καὶ Zac Franken μὲ σχετικὲς ἀνακοινώσεις τους σὲ συνέδρια. Στὴν
πράξη θὰ πρέπει νὰ ἀναφέρουμε τὴν περίπτωση τῆς Shell ποὺ ἀναγκάστηκε νὰ
ἀκυρώσει τὴν ἐν λόγω τεχνολογία EMV ἀπὸ τὶς κάρτες τῆς ἀφοῦ εἶχαν κλαπεῖ
περίπου 1.000.000 λίρες ἀπὸ πελάτες τῆς (βλ. ΕΔΩ ) ἀλλὰ καὶ τὴ μαζικὴ
ἐπέμβαση ἀπὸ ἐγκληματίες (;) ἀπὸ τὸ Πακιστᾶν καὶ τὴν Κίνα σὲ ἀναγνῶστες τέτοιων
καρτῶν ποὺ διατέθηκαν σὲ πολλὲς εὐρωπαϊκὲς χῶρες καὶ ἀφαίρεσαν ἀπὸ χρῆστες τῶν
καρτῶν συνολικὸ ποσὸ ἄνω τῶν 10 ἑκατομμυρίων λιρῶν. Τὸ τελευταῖο γεγονὸς
ἀνάγκασε τὸν Ὑπεύθυνο Ἐθνικῆς Ἀντικατασκοπίας τῶν ΗΠΑ Joel Brenner, νὰ δηλώσει
ὅτι «μέχρι προτινὸς μόνο κρατικὲς ὑπηρεσίες πληροφοριῶν μποροῦσαν νὰ ἐκτελέσουν
κάτι τέτοιο. Εἶναι τρομακτικὸ»
(βλ.
http://www.theregister.co.uk/2008/1/10/organized_crime_doctors_chip_and_pin_machines/
)
Ὕστερα ἀπὸ τὰ παραπάνω θὰ θέλαμε ἡ Τράπεζα
Eurobank νὰ μᾶς ἐνημερώσει:
1) Γιὰ ποιὸ λόγο ἀποφάσισε νὰ μὴν ἐνημερώσει
τὸ καταναλωτικὸ κοινὸ ὅτι οἱ ἐν λόγω κάρτες τῆς περιέχουν rfid chip καὶ τὴν ἐν
λόγω τεχνολογία καὶ πῶς σκοπεύει νὰ ἀντιμετωπίσει τὶς συγκεκριμένες ἀδυναμίες
ποῦ προαναφέρθηκαν;
2) Δεδομένου ὅτι τὸ ἐν λόγω rfid chip ἔχει
μνήμη καὶ ὡς ἐκ τούτου βάση δεδομένων, τί εἴδους προσωπικὰ δεδομένα τοῦ χρήστη
θὰ συλλέγει ἡ κάρτα ἀνέπαφων συναλλαγῶν, τί χρήση θὰ κάνει αὐτῶν καὶ ποιοὶ
ἀσύρματοι ἀναγνῶστες δύνανται νὰ λαμβάνουν γνώση αὐτῶν τῶν δεδομένων;
3) Ἐὰν ἔχει ἐνημερώσει σχετικὰ τὴν Ἀρχὴ
Προστασίας Προσωπικῶν Δεδομένων.
Ζητᾶμε ἐπίσης ἀπὸ τὴν Ἀρχὴ Προστασίας
Προσωπικῶν Δεδομένων νὰ μᾶς ἐνημερώσει πῶς ἀντιμετωπίζει τὸ θέμα τῶν βάσεων
δεδομένων τῶν τραπεζικῶν καρτῶν μὲ rfid chip καὶ τῶν συσκευῶν ἀπομακρυσμένης
ἀνάγνωσής τους. Νὰ ἐπισημάνουμε ἐδῶ ὅτι σύμφωνα μὲ δημοσιεύματα, τὸ 2013 ἔχει
προγραμματιστεῖ ὡς ἡ χρονιὰ ἐφαρμογῆς τῶν ἀνέπαφων συναλλαγῶν στὶς τραπεζικὲς
κάρτες. (http://www.imerisia.gr/article.asp?catid=27200&subid=2&pubid=112991096)
Κλείνουμε μὲ τὴν ἐλπίδα ὅτι σύντομα θὰ ὑπάρξει
μία ἀπάντηση στὰ ἀνωτέρω καὶ θὰ ἀκολουθήσουν οἱ δέουσες ἐνέργειες τῆς Ἀρχῆς
Προστασίας Προσωπικῶν Δεδομένων.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου