בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

לקרוא ללא הגבלה, רק עם מינוי דיגיטלי בהארץ  

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

כך ניתן לחשוף את המידע האישי שלכם בכרטיסי הרב קו

מפתח ישראלי העלה לפליי סטור של גוגל אפליקציה שמאפשרת לחלק מהסמארטפונים החדשים לסרוק כל כרטיס ולגלות מספר תעודת זהות ופרטים נוספים

15תגובות

כרטיסי הרב קו אינם מוגנים בססמה, ואפליקציה פשוטה בשילוב עם טלפון המצוייד בשבב NFC לתקשורת קרובה, יכולה לחשוף את פרטי בעל הכרטיס, כך כתב מורד שטרן בבלוג Usability Talking.

שטרן הציג כיצד טלפונים כמו הסמסונג גלקסי S3 ו-S4 יכולים לחשוף מידע על המשתמש בזכות האפליקציה שפיתח נדב מוסקוביץ', ועליה דווח ב-NEXTER. הדבר אינו אפשרי במכשירי אייפון שאינם תומכים בטכנולוגיית NFC. האפליקציה, שזמינה להורדה בחנות גוגל פליי, יכולה לשמש כל אדם לצרכיו - למשל כדי לברר כמה נסיעות נותרו לו בכרטיס. הבעיה עשויה להתעורר כאשר הכרטיס אבד או נגנב, ואז הוא האפליקציה מאפשרת לגלות על בעליו פרטים אישיים.

שטרן כתב כי ניתן לחשוף את 6 הנסיעות האחרונות בכרטיס, חוזה הנסיעה המוטען על הכרטיס וחשוב מכך מספר תעודת הזהות ותאריך הלידה של בעל הכרטיס. השם, והתמונה נמצאים כבר ממילא על הכרטיס, מציין שטרן.

"עכשיו כל זה זמין לכם – ללא שום הגנת סיסמה כלשהיא. אוקיי? אני אחזור – אין שום הגנת סיסמה כלשהיא שמגינה על המידע שצרוב בכרטיסים האלו. ככה שסריקה של כל כרטיס שיילקח /ייגנב / יאבד מבעליו החוקיים – בעצם חושף עליו מידע אישי ויקר ערך לכל אחד. אתם יכולים לשאול 'מורד, נו באמת, אנחנו הרי גם ככה מסתובבים עם מספר תעודת הזהות, ותאריך הלידה שלנו בתעודת הזהות וברישיון הנהיגה שבארנק, אז מה זה משנה אם זה גם שמור בכרטיס חכם של תחבורה ציבורית?', שאל שטרן והשיב לעצמו בשתי נקודות:

ראשית, אף אחד לא ידע שהמידע הזה מוחזק על הכרטיס, "אם היה הולך לי לאיבוד כרטיס הרב-קו הזה, בכלל לא הייתי יודע שמישהו מחזיק את תאריך הלידה ואת מספר הת.ז שלי אצלו ביד, לצד תמונה שלי ושם פרטי ומשפחה". ובנוסף, "אי-שם קיים מאגר נתונים נוסף שבו המידע האישי שלכם מאוחסן, הפעם גם עם הרגלי הנסיעה שלכם. שתכירו".

זה אינו המקרה הראשון שבו מתברר כי ניתן לחשוף מידע בכרטיסי הרב קו. כבר ב-2010 חשף יוסי דהן, אז מפתח אפליקציות בן 17, כי ניתן לקרוא את כל הנתונים שעל הכרטיס בעזררת קוראי NFC ואף לשנות אותם.

"בעזרת קוד שכתבתי, ובעזרת קורא כרטיסים חכמים פשוט, הצלחתי לנתח את כל המידע שיש בכרטיס הרב-קו, ואפילו להחליפו במידע קיים. עם עוד מעט עבודה אוכל בלי בעיה לטעון את הכרטיס בכמה נסיעות שאני רוצה, ואפילו לשנות פרטים", אמר אז ל-TheMarker.

מחברת דן נמסר אז לדה מרקר כי משרד התחבורה אחראי על הנושא וכי "הרב-קו וסטנדרט הקליפסו מלכתחילה מאפשרים את קריאת הנתונים והצגתם, כל זאת מתוך ראיה עתידית שתהיינה אפליקציות נוספות על הכרטיס החכם ובעל הכרטיס החכם ירצה מידי פעם להציג על אביזרי קריאה סטנדרטיים מה מכיל הכרטיס החכם. מערך הכרטוס החכם יצר הגנות מרביות בפני כתיבה, עדכון ומחיקה של נתונים".

ממשרד התחבורה נמסר כי אין שום פרצה באבטחה בכרטיס החכם ולא ניתן לעשות כל שימוש לרעה בנתונים האישיים המצויים בכרטיס, מאחר שהוא אינו מכיל שום פרט חסוי. אופיו של הכרטיס אכן שונה ב-2010 וכיום הוא אינו מכיל פרטים אישיים מעבר למה שהיה קיים.הפרטים המצויים כיום בכרטיס החכם היו מצויים גם בכרטיסיית הנייר שהייתה נהוגה  במשך שנים רבות עד לכניסת הכרטיס החכם. יתרה מכך, לא ניתן לשנות את תוכן הכרטיס או הפרטים הצפונים בו, ונדרשת פעילות מורכבת בפרוק המידע לשדות ולהבנת משמעותם.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות

כתבות שאולי פספסתם

*#
בואו לגלות את עמוד הכתבה החדש שלנו