« Bloggtreklöver 106 | Startsidan | Två bilder som säger en hel del om vart vi är på väg... »

2 november 2006

Obehöriga kan komma att avläsa dina kreditkort

Ibland leder utvecklingen framåt och underlättar vårt dagliga liv. Men i vissa fall oroar mig utvecklingen.

Främlingar med antenn kan avläsa kreditkort

RFID-vågen har nått kontokorten, och i USA har tiotals miljoner kreditkort redan försetts med dessa mikro-radiosändare. Hela idén är att korten därmed kan avläsas trådlöst med en antenn. Nu har en forskargrupp visat att vem som helst som kommer inom ett par decimeters avstånd kan läsa av ett kontokort som en annan person bär i fickan eller handväskan - och därmed identifiera vederbörande.

Försöket har genomförts av en institution som kallas Consortium for Security and Privacy vid det prestigefyllda amerikanska universitetet Massachusetts Institute of Technology (MIT). Den nyfikne kan enkelt dölja utrustningen under rocken, närma sig personer och läsa av information som namn, kontokortsnummer och giltighetstid på kort som han eller hon bär på sig. Koden kan inte läsas av, men den avslöjade informationen räcker för att köpa varor på främlingens kortnummer i många nätbutiker.

Allt som behövs i utrustningsväg är en kreditkortsläsare och en radiomottagare. Apparaten som forskarlaget satt ihop är inte större än "ett par pocketböcker" och kostade cirka 1.000 kronor. De säger att de förmodligen skulle kunna bygga en andra version som inte är större än ett paket tuggummi och som bara skulle kosta 350 kr.

Den ekonomiska risken är dock inte det enda problemet. Bäraren av ett RFID-kort kan också bli identifierad av en främling utan att veta om det, exempelvis på tåg och bussar där det råder trängsel. I baren på en nattklubb kan uppvaktande män snappa upp identiteten på en kvinna de fattat intresse för, vilket kan bli början på så kallad stalking (förföljelse). Mindre nogräknade butiker kan sätta en antenn under disken och registrera sina besökare i syfte att bygga ett kundregister. Brevbärare och annan postpersonal kan läsa av kreditkort som befinner sig under postbefordran. Och så vidare.

Forskargruppen på MIT, som leds av professor Kevin Fu, konstaterar att RFID-korten skulle kunna skyddas med kryptering men att kontokortsföretagen inte har gjort det. I marknadsföringen, däremot, hävdar kontokortsföretagen att korten är säkrade med mycket hög kryptering.

"Trots de miljontals RFID-aktiverade kontokort som redan används [...] så är alla kort vi testat mottagliga för [...] attacker", skriver forskargruppen. Testerna har gjorts med 20 kort från Visa, MasterCard och American Express.

Kontokortsföretagen avvisar kritiken. "Det här är ett intressant tekniskt experiment, men inte något reellt hot mot konsumenter", säger Brian Triplett, en av Visas vice VD-ar. En av MasterCards högsta chefer, Art Kranzley, uttrycker saken så här: "Det här är nästan som om någon står upp i en biosalong och skriker 'Det brinner!' bara för att någon har tänt en cigarrett".

John Pescatore, som är vice VD för internetsäkerhet på analysföretaget Gartner Group, kommenterar säkerhetsavslöjandet så här: "Det här är ett klassiskt 'Vi förlitar oss på säkerhet genom att mörka - vem kommer att titta?' Sedan, ojdå! Så fort någon tittar så rullas säkerheten bort".

Länkar:
TV-inslag ABC.
Artikel i New York Times.
Artikel i The Register.
Forskargruppens rapport.

Jag har saxat informationen från senaste Big Brother Bulletinen som ges ut av Pär Ström.

Själv kan jag se andra faror. Skummisar sitter på Arlanda och scannar av vilka som reser iväg på en charterresa. Sedan är det bara att åka hem till dem och i lugn och ro rensa hemmet. Samma scenario kan vara att du sitter och äter en god middag i glada vänners lag och någon scannar av ditt kort och samma sak kan ske som i exemplet ovan.

Om och när detta kommer och att bli default så tänker jag ta mig en funderare på om jag överhuvudtaget ska ha ett kreditkort längre.

I samma nyhetsbrev (jag rekommenderar en prenumeration på detta) kan man läsa om detta nedan, Idg har en artikel om detta.

Företaget Spi Dynamics har visat en teknik för hur en hemsida kan se vilka andra hemsidor du tidigare varit inne på. Något som kan utnyttjas av exempelvis webbutiker.

Jag har redan javascript avaktiverat i min browser.
Det kanske inte är så dumt?

Andra bloggar om:
, , och

// Annica Tiger

Annica Tiger november 2, 2006 6:42 EM