При помощи небольшого устройства, собранного из имеющихся в продаже радиодеталей и компьютерного оборудования (общей стоимостью $150), ученые смогли считать со всех 20 карт как минимум имя и фамилию владельца, а в большинстве случаев — еще номер карты и дату истечения срока ее действия.
Бесконтактные карты (RFID-карты) — новое поколение пластиковых карт, использующих радиоволны для передачи данных. Около 20 млн подобных карт уже находятся в обращении — главным образом, в США и странах Азии, а около месяца назад первые тесты RFID-карт начались в Европе.
В ходе эксперимента, проведенного исследователями из США, выяснилось, что все данные, которые содержались на большинстве бесконтактных карт, передавались незашифрованными.
Как отмечают исследователи, поскольку информацию с карты можно считать и на расстоянии (через одежду, если карта находится в кошельке, и т. д.), о безопасности данных вообще говорить не приходится.
Впрочем, несмотря на результаты теста, компании, так или иначе связанные с выпуском кредитных карт, настаивают, что данные все же шифруются.
К примеру, в пресс-службе American Express заявляют об использовании «128-битных криптографических ключей». Чипы, подобные тем, что используются в бесконтактных картах, могут шифровать данные при передаче, но это замедляет процесс обработки транзакций и увеличивает затраты на необходимое для чтения карт оборудование.
При этом представители Visa, MasterCard, American Express и банков-эмитентов утверждают, что шокирующие результаты лабораторных исследований — это одно, а «настоящая» угроза безопасности данных — совсем другое.
«Это интересный технический эксперимент, — прокомментировал результаты исследования Брайан Трипплет (Brian Tripplet), старший вице-президент отдела новых технологий в Visa, — но никакой реальной опасности пользовательские данные не подвергаются».
Авторы исследования придерживаются противоположной точки зрения.
По разным оценкам, считывать данные можно на расстоянии от нескольких сантиметров до нескольких метров. «Даже если учитывать, что расстояние (на котором можно считать данные с карты — прим. ред.) невелико, — говорит Хейдт-Бенджамин, — я все равно могу пойти в людное место и собрать данные с кредиток всех прохожих».
Ученые из Массачусетского университета подготовили подробный отчет о своем исследовании для конференции по компьютерной безопасности RSA. Независимые эксперты по компьютерной безопасности, ознакомившиеся с исследованием, были поражены его результатами. «Есть определенный уровень безопасности, на который рассчитывают владельцы карт, думаю, кредитные компании эту черту перешли», — заявил Авьел Рубин (Aviel Rubin), профессор кафедры компьютерной безопасности Университета Джона Хопкинса (США).
В MasterCard же утверждают, что делать выводы обо всем рынке бесконтактного пластика по результатам тестирования 20 карт некорректно. «Это небольшая выборка, — уверен исполнительный вице-президент отдела современных методов оплаты в MasterCard Арт Крэнзли (Art Kranzley). — Делать подобные выводы — все равно что кричать «Пожар!», когда кто-то закурит в театре».
Он также утверждает, что в 98% из 10 млн бесконтактных карт компании на рынке использованы лучшие механизмы защиты.
Представители Visa и American Express и вовсе заявили, что все их карты соответствуют самым высоким требованиям к безопасности данных, добавив, что помимо этих требований эффективно работают дополнительные механизмы защиты от мошенничества.
«Карточные» компании высказывают еще несколько соображений в защиту действующей схемы работы новых карт. Несмотря на то что информация может передаваться в незашифрованном виде, многие карты, к примеру, пересылают на считывающее устройство не свой номер, а бессмысленный на первый взгляд набор цифр, который можно использовать только вместе с кодом, который передается в зашифрованном виде. «Так что на руках у вас оказывается бесполезная информация, — подытоживает Дэвид Боналле (David Bonalle), вице-президент подразделения современных методов оплаты в American Express. — Данные эти красть бессмысленно».
В нескольких тестах ученые действительно столкнулись с подобной ситуацией, но в большинстве случаев чипы в картах передавали ее настоящий номер и никак не меняли передаваемые данные от раза к разу.
Также исследователям удалось получить информацию с нескольких карт и ретранслировать ее на считывающее устройство — таким образом, они получили возможность совершать покупки даже без карты.
Доктор Кэвин Фу (Kevin Fu), профессор компьютерных наук (computer science) из Массачусетского университета, заявил, что с радостью изучит и те карты, которые, по уверениям Visa, American Express и MasterCard, лучше исследованных.
Также он добавил, что все 20 карт, участвовавших в эксперименте, были выпущены в 2006 году и каждая из них не смогла выдержать как минимум одну «атаку», проведенную в лаборатории.
Джон Пескаторе (John Pescatore), аналитик независимого агентства Gartner, немало удивленный результатами исследований, заявил, что вся ситуация вокруг бесконтактных карт, похоже, вызвана выводом на рынок не до конца обкатанной технологии.
Следует заметить, что после обнародования исследования ученых из Массачусетса представители Visa, MasterCard и American Express пообещали удалить имена и фамилии владельцев из потока пересылаемых на считывающее устройство данных, а одна из американских организаций по защите прав потребителей (CASPIAN) потребовала отзыва всех бесконтактных карт. Представители корпораций, отвечающих за работу платежных систем, на это требование пока никак не отреагировали.
