Na slabiny v zabezpečení upozornila nevládní organizace Iuridicum Remedium (IuRe), která o kryptologově pokusu natočila krátký snímek. Přestože čip používá novou technologii, číslo karty se podařilo přečíst přes rádiové rozhraní bez vědomí držitele a získat volně dostupná identifikační data.

Lze je následně pomocí jednoduchého emulátoru, tedy zařízení, které se tvářilo jako cizí bezkontaktní opencard, zadat do čteček v knihovně. Na problém v květnu upozornil kryptolog Tomáš Rosa na přednášce Vysokého učení technického v Brně. IuRe jeho zjištění potvrdilo.

Uživatelé podceňují rizika

„Čip karty byl navíc nedostatečně zabezpečen, neboť přístupový klíč pro ochranu uvedených údajů byl nastaven na takzvanou veřejnou hodnotu, která je všeobecně známa a běžně dostupná například na internetu,“ upozornil Filip Pospíšil z IuRe. Podle něho důležitým aspektem bylo, že čtenář knihovny nepoužíval pro svůj přístup heslo.

Mluvčí městské knihovny Lenka Hanzlíková Právu řekla, že přístup do výpůjčního a rezervačního programu Koniáš bez hesla je pro čtenáře rizikem a knihovna na to své klienty upozorňuje.

„Budeme znovu a ještě více připomínat, že je dobré si průkazky zaheslovat,“ poznamenala Hanzlíková. Jinou možností je nosit kartu s čipem, který se identifikuje na rádiové frekvenci (RFID), v alobalovém obalu, který znemožnění její přečtení např. přes kapsu.

Hanzlíková připustila, že elektronický útočník může z programu Koniáš zjistit osobní data člověka, jehož identitu si zkopíroval. Knihu si však na cizí identitu nevypůjčí. „Data nejsou na kartě ale v naší databázi. I když máte data, nepůjčíte si knížku,“ uvedla mluvčí s tím, že knihovník vydávající objednanou literaturu musí dostat do rukou kartu s fotografií dotyčného.

Mluvčí projektu Opencard zjištění nevěří

Mluvčí projektu Opencard Martin Opatrný se zjištěním IuRe podivil, pokládá je za poměrně nepravděpodobné a za matení veřejnosti. Podle něho se renomovaní odborníci, a to i ze zahraničí, shodli, že systém Opencard je bezpečný.

„Čipy RFID, které máme na Opencard, zatím nikdo celosvětově neprolomil,“ uvedl Opatrný. Připustil však, že lidé nevyužívají karty kontaktní, u nichž čtení na vzdálenost více než 10 cm prakticky není možné, anebo anonymní. „Většina vydaných karet je bezkontaktních a na jméno,“ konstatoval Opatrný.

IuRe už delší čas žádá, aby se zrovnoprávnily podmínky pro uživatele karet anonymních, které jsou zpoplatněny a jejichž držitelé neuspějí třeba v knihovně. Opencard si nyní budou pořizovat děti a junioři do 19 let. Naposledy 12. června si totiž mohou koupit papírové kupóny na MHD, poté pro ně bude jejich nosičem jen karta.

„To nepochybně také povede k vynucenému rozšířenému využívání Opencard v Městské knihovně mezi dětmi a mládeží. V ohrožení se tak ocitnou data nejvíce zranitelné části populace,“ varoval Pospíšil.