Η Τράπεζα EUROBANK ανακοίνωσε εδώ και λίγο καιρό στην ιστοσελίδα της http://www.eurobank.gr/online/home/generic.aspx?id=1027&mid=961&lang=gr τις νέες πιστωτικές κάρτες της τεχνολογίας PayPass ή στα ελληνικά «ανέπαφων συναλλαγών». Ήδη τηλεοπτική διαφήμιση μιας από τις εν λόγω κάρτες προβάλλεται και στην τηλεόραση http://www.youtube.com/watch?v=FkQMhU1LNN4 Πέραν της τηλεοπτικής διαφημίσεως η εν λόγω τράπεζα προωθεί τις συγκεκριμένες κάρτες της και με άλλες προωθητικές ενέργειες όπως μεταξύ άλλων «ένα μεγάλο ποπ κορν» δωρεάν http://www.eurobank.gr/online/home/generic.aspx?id=341&mid=693&lang=gr. Επίσης στις ανωτέρω ιστοσελίδες δίδονται και άλλες πληροφορίες σχετικά με την τεχνολογία Pay Pass καθώς και απαντήσεις σε διάφορες υποθετικές ερωτήσεις.
Συμπληρωματικά σε όσες πληροφορίες αναφέρονται εκεί ως Ενωμένη Ρωμηοσύνη θα θέλαμε να επισημάνουμε και τα ακόλουθα:
Συμπληρωματικά σε όσες πληροφορίες αναφέρονται εκεί ως Ενωμένη Ρωμηοσύνη θα θέλαμε να επισημάνουμε και τα ακόλουθα:
1) Η τεχνολογία PayPass σημαίνει ότι οι κάρτες με την τεχνολογία αυτή περιέχουν rfid chip. (βλ. μεταξύ άλλων εδώ http://en.wikipedia.org/wiki/MasterCard και εδώ http://en.wikipedia.org/wiki/File:Paypass_chip_front.png) Στην ανωτέρω φωτογραφία μιας Αυστραλιανής ημιδιάφανης κάρτας paypass φαίνεται το rfid chip και η κεραία του.
2) Οι κάρτες αυτές είναι του τεχνολογικού πρότυπου (στάνταρντ) ISO/IEC 14443 της ίδιας δηλαδή τεχνολογίας -με chip rfid- που χρησιμοποιούν μεταξύ άλλων τα βιομετρικά διαβατήρια και η Γερμανική Κάρτα του Πολίτη. http://en.wikipedia.org/wiki/ISO/IEC_14443. Να αναφέρουμε ότι στα Βρετανικά διαβατήρια με την εν λόγω τεχνολογία οι κωδικοί ασφαλείας «έσπασαν» σε λιγότερο από 48 ώρες. βλ εδώ: http://www.wired.com/beyond_the_beyond/2006/11/arphid_watch_fi/
2) Οι κάρτες αυτές είναι του τεχνολογικού πρότυπου (στάνταρντ) ISO/IEC 14443 της ίδιας δηλαδή τεχνολογίας -με chip rfid- που χρησιμοποιούν μεταξύ άλλων τα βιομετρικά διαβατήρια και η Γερμανική Κάρτα του Πολίτη. http://en.wikipedia.org/wiki/ISO/IEC_14443. Να αναφέρουμε ότι στα Βρετανικά διαβατήρια με την εν λόγω τεχνολογία οι κωδικοί ασφαλείας «έσπασαν» σε λιγότερο από 48 ώρες. βλ εδώ: http://www.wired.com/beyond_the_beyond/2006/11/arphid_watch_fi/
3) Επίσης οι κάρτες αυτές είναι της κατηγορίας EMV, για τις οποίες όμως εγείρονται σοβαρά ζητήματα ασφαλείας. Hidden_hardware_disables_PIN_checking_on_stolen_card Μεταξύ άλλων να αναφέρουμε ότι οι ερευνητές του Πανεπιστημίου του Κέιμπριτζ Steven Murdoch και Saar Drimer έχουν καταδείξει τα προβλήματα της συγκεκριμένης τεχνολογίας η οποία -σύμφωνα με τα λεγόμενά τους- «είναι τόσο απλή που τους σοκάρισε». Σύμφωνα με τις επιστημονικές ανακοινώσεις τους, αυτοί που θα ήθελαν να εκμεταλλευτούν τις αδυναμίες του συγκεκριμένου συστήματος αρκεί να έχουν προπτυχιακές γνώσεις ηλεκτρονικών – γνώσεις που από παλαιότερες επιθέσεις έχει αποδειχθεί πως είναι κτήμα όσων ασχολούνται με το ηλεκτρονικό έγκλημα. Το θέμα αποτέλεσε και αντικείμενο της εκπομπής Newsnight του BBC την οποία, όσοι γνωρίζουν αγγλικά, μπορούν να δουν εδώ http://www.youtube.com/watch?v=JPAX32lgkrw.
Αλλά και άλλοι επιστήμονες έχουν καταδείξει προβλήματα στη συγκεκριμένη τεχνολογία όπως οι Andrea Barisani, Daniele Bianco, Adam Laurie και Zac Franken με σχετικές ανακοινώσεις τους σε συνέδρια. Στην πράξη θα πρέπει να αναφέρουμε την περίπτωση της Shell που αναγκάστηκε να ακυρώσει την εν λόγω τεχνολογία EMV από τις κάρτες της αφού είχαν κλαπεί περίπου 1.000.000 λίρες από πελάτες της http://news.bbc.co.uk/2/hi/uk_news/england/4980190.stm αλλά και τη μαζική επέμβαση από εγκληματίες (;) από το Πακιστάν και την Κίνα σε αναγνώστες τέτοιων καρτών που διατέθηκαν σε πολλές ευρωπαϊκές χώρες και αφαίρεσαν από χρήστες των καρτών συνολικό ποσό άνω των 10 εκατομμυρίων λιρών. Το τελευταίο γεγονός ανάγκασε τον Υπεύθυνο Εθνικής Αντικατασκοπίας των ΗΠΑ Joel Brenner, να δηλώσει ότι «μέχρι πρότινος μόνο κρατικές υπηρεσίες πληροφοριών μπορούσαν να εκτελέσουν κάτι τέτοιο. Είναι τρομακτικό»http://www.theregister.co.uk/2008/10/10/organized_crime_doctors_chip_and_pin_machines/
Ύστερα από τα παραπάνω θα θέλαμε η Τράπεζα Eurobank να μας ενημερώσει:
1) Για ποιο λόγο αποφάσισε να μην ενημερώσει το καταναλωτικό κοινό ότι οι εν λόγω κάρτες της περιέχουν rfid chip και την εν λόγω τεχνολογία και πώς σκοπεύει να αντιμετωπίσει τις συγκεκριμένες αδυναμίες που προαναφέρθηκαν;
2) Δεδομένου ότι το εν λόγω rfid chip έχει μνήμη και ως εκ τούτου βάση δεδομένων, τι είδους προσωπικά δεδομένα του χρήστη θα συλλέγει η κάρτα ανέπαφων συναλλαγών, τι χρήση θα κάνει αυτών και ποιοι ασύρματοι αναγνώστες δύνανται να λαμβάνουν γνώση αυτών των δεδομένων;
3) Εάν έχει ενημερώσει σχετικά την Αρχή Προστασίας Προσωπικών Δεδομένων.
Ζητάμε επίσης από την Αρχή Προστασίας Προσωπικών Δεδομένων να μας ενημερώσει πώς αντιμετωπίζει το θέμα των βάσεων δεδομένων των τραπεζικών καρτών με rfid chip και των συσκευών απομακρυσμένης ανάγνωσής τους. Να επισημάνουμε εδώ ότι σύμφωνα με δημοσιεύματα, το 2013 έχει προγραμματιστεί ως η χρονιά εφαρμογής των ανέπαφων συναλλαγών στις τραπεζικές κάρτες. http://www.imerisia.gr/article.asp?catid=27200&subid=2&pubid=112991096)
Κλείνουμε με την ελπίδα ότι σύντομα θα υπάρξει μια απάντηση στα ανωτέρω και θα ακολουθήσουν οι δέουσες ενέργειες της Αρχής Προστασίας Προσωπικών Δεδομένων.
Ενωμένη Ρωμηοσύνη
Αλλά και άλλοι επιστήμονες έχουν καταδείξει προβλήματα στη συγκεκριμένη τεχνολογία όπως οι Andrea Barisani, Daniele Bianco, Adam Laurie και Zac Franken με σχετικές ανακοινώσεις τους σε συνέδρια. Στην πράξη θα πρέπει να αναφέρουμε την περίπτωση της Shell που αναγκάστηκε να ακυρώσει την εν λόγω τεχνολογία EMV από τις κάρτες της αφού είχαν κλαπεί περίπου 1.000.000 λίρες από πελάτες της http://news.bbc.co.uk/2/hi/uk_news/england/4980190.stm αλλά και τη μαζική επέμβαση από εγκληματίες (;) από το Πακιστάν και την Κίνα σε αναγνώστες τέτοιων καρτών που διατέθηκαν σε πολλές ευρωπαϊκές χώρες και αφαίρεσαν από χρήστες των καρτών συνολικό ποσό άνω των 10 εκατομμυρίων λιρών. Το τελευταίο γεγονός ανάγκασε τον Υπεύθυνο Εθνικής Αντικατασκοπίας των ΗΠΑ Joel Brenner, να δηλώσει ότι «μέχρι πρότινος μόνο κρατικές υπηρεσίες πληροφοριών μπορούσαν να εκτελέσουν κάτι τέτοιο. Είναι τρομακτικό»http://www.theregister.co.uk/2008/10/10/organized_crime_doctors_chip_and_pin_machines/
Ύστερα από τα παραπάνω θα θέλαμε η Τράπεζα Eurobank να μας ενημερώσει:
1) Για ποιο λόγο αποφάσισε να μην ενημερώσει το καταναλωτικό κοινό ότι οι εν λόγω κάρτες της περιέχουν rfid chip και την εν λόγω τεχνολογία και πώς σκοπεύει να αντιμετωπίσει τις συγκεκριμένες αδυναμίες που προαναφέρθηκαν;
2) Δεδομένου ότι το εν λόγω rfid chip έχει μνήμη και ως εκ τούτου βάση δεδομένων, τι είδους προσωπικά δεδομένα του χρήστη θα συλλέγει η κάρτα ανέπαφων συναλλαγών, τι χρήση θα κάνει αυτών και ποιοι ασύρματοι αναγνώστες δύνανται να λαμβάνουν γνώση αυτών των δεδομένων;
3) Εάν έχει ενημερώσει σχετικά την Αρχή Προστασίας Προσωπικών Δεδομένων.
Ζητάμε επίσης από την Αρχή Προστασίας Προσωπικών Δεδομένων να μας ενημερώσει πώς αντιμετωπίζει το θέμα των βάσεων δεδομένων των τραπεζικών καρτών με rfid chip και των συσκευών απομακρυσμένης ανάγνωσής τους. Να επισημάνουμε εδώ ότι σύμφωνα με δημοσιεύματα, το 2013 έχει προγραμματιστεί ως η χρονιά εφαρμογής των ανέπαφων συναλλαγών στις τραπεζικές κάρτες. http://www.imerisia.gr/article.asp?catid=27200&subid=2&pubid=112991096)
Κλείνουμε με την ελπίδα ότι σύντομα θα υπάρξει μια απάντηση στα ανωτέρω και θα ακολουθήσουν οι δέουσες ενέργειες της Αρχής Προστασίας Προσωπικών Δεδομένων.
Ενωμένη Ρωμηοσύνη
No comments :
Post a Comment