"Na příkladu Hradecké, Pardubické a Plzeňské městské karty jsme názorně ukázali, jak snadné je s pomocí jednoduché aplikace a mobilního telefonu získat osobní údaje držitele karty. K jejich získání stačí pár sekund a člověk ani nemusí zjistit, že někdo krade jeho data," uvedla Hlatká. Sdružení zároveň zveřejnilo video, na kterém je zachycen průběh získávání údajů.

Ředitel hradeckého dopravního podniku Miloslav Kulich řekl, že o potížích s bezpečností městské karty neví. "Nedokáži na to odpovědět, protože jsem se s tím nesetkal. Pokud by se prokázalo, že je možné údaje ukrást, museli bychom to řešit s výrobcem, aby řekli, co by se s tím mohlo dělat a jak zajistit vyšší bezpečnost," řekl Kulich.

Podle sdružení video nemá sloužit jako návod ke krádeži dat. "Video jsme natočili především proto, abychom ukázali, jak snadné je zneužití městských karet s čipem Mifare Classic, a přiměli tak města i dopravní podniky, aby karty lépe zabezpečily a věnovaly ochraně dat jejich uživatelů větší pozornost," uvedla Hlatká. Podle sdružení jsou v mnoha případech osobní data chráněna jen takzvaným defaultním klíčem, který se však v technické dokumentaci uvádí zcela veřejně.

Pražané jsou díky opencard v bezpečí

Čipy Mifare Classic podle sdružení používá naprostá většina městských a dopravních karet v České republice. Výjimkou jsou Ostravská karta či pražská opencard. "Opencard původně používala zastaralý čip Mifare Classic, na základě dlouhodobé kampaně IuRe za lepší zabezpečení údajů na kartě však později vyměnila čip za bezpečnější Mifare Desfire," uvedla Hlatká.

Sdružení již dříve podalo podněty Úřadu na ochranu osobních údajů (ÚOOÚ). "Vzhledem k tomu, že naše upozornění na nedostatečné zabezpečení ochrany osobních údajů na všech třech kartách zůstala bez odezvy, rozhodli jsme se problém demonstrovat prostřednictvím videa za použití běžně dostupného mobilního telefonu a jednoduché aplikace," dodala Hlatká z IuRe.