Kipróbáltuk: illetéktelen is költhet NFC-s kártyáról
Egy árnyékolt pénztárcákat áruló hazai cég került össztűz alá, miután a MasterCard egy pénzügyi weboldalnak úgy nyilatkozott, nem lehet megterhelni az egyérintéses kártyákat az azokról NFC-s eszközzel megszerzett adatok birtokában. Ahogy tavaly, most is kipróbáltuk és akárcsak tavaly, idén is téved a kártyakibocsátó.
A napokban ismét fellángolt az utóbbi években időről időre újra előkerülő, "biztonságos-e az egyérintéses fizetés" vita, ezúttal egy árnyékolt pénztárcákat áruló online kereskedő hirdetései kapcsán. A téma gyorsan körbejárta a magyar online sajtót, amely a MasterCard az ügyben tett nyilatkozatát visszhangozta: bár az egyérintésesként vagy korábban "PayPass-képesként" emlegetett kártyákról valóban megszerezhető néhány adat NFC chipek olvasására készült eszközzel vagy okostelefonnal, az így kapott információk birtokában még nem károsítható meg a kártyabirtokos, a támadó nem képes az adatokkal vásárolni vagy készpénzt felvenni. Ez tehát a cég alapállítása.
Szerkesztőségünk tapasztalatai ugyanakkor ennek homlokegyenest ellentmondanak: Amazonról több alkalommal is sikeresen vásároltunk kizárólag azon adatok birtokában, amelyeket az NFC-s bankkártyáról olvastunk ki, ráadásul minden hackelés, vagy körmönfont csel nélkül, az Amazon standard oldalát használva. A vásárlást mind MasterCard, mind pedig Visa kártyákkal sikeresen kipróbáltuk - mindkét esetben működött is.
A helyzet egyébként korábban is ez volt, vagyis a kártyák nem lettek hirtelen törhetőek, hanem mára sem váltak biztonságossá. Ez tehát a rövid összefoglaló, de lássuk pontosan, mit is tehet lehetővé a kereskedő, a kártyakibocsátó és a bank lazasága a felhasználó pénzével.
Készpénzt levenni nem, vásárolni továbbra is lehet
Arra lettünk figyelmesek, hogy a napokban feltűnő hevességgel reagált a MasterCard egy, itthon NFC-s kártyákhoz árnyékoló tokot forgalmazó webshop állításaira, a cég leszedette a weboldalt, majd igen erős állításokkal töltötte meg a nagyobb hazai lapokat is. A kártyakibocsátó álláspontját először az azenpenzem.hu hozta le, majd több más online magazin is átvette, a hvg.hu-t vagy a Blikket is beleértve. Eszerint a kártyatulajdonosoknak nem kell tartaniuk semmitől, az érintett DoFeSec Kft. honlapján megjelent állítások "nem fedik a valóságot, valamint alkalmasak az ügyfelek megtévesztésére".
Mit is állít a MasterCard pontosan? A cég azt elismeri, hogy okostelefonnal leolvashatók bizonyos kártyaadatok, hangsúlyozza, hogy csak nagyon közelről, kevesebb mint 5 centiméteres távolságról van lehetőség azok megszerzésére - a szóban forgó kereskedő oldala ezzel szemben az azenpenzem.hu szerint 10-20 centiméteres távról beszél (jelen cikk keletkezésekor a DofeSec Kft. korábbi oldalát már egy az esetre reagáló kiírásra cserélte, amelyben tételes választ ígér az őt ért vádakra). A húszcentis leolvasás valóban elég merésznek hangzik, ez az NFC technológia elméleti maximuma, okostelefonokkal gyakorlatban valóban 4-5 centiméter környékén mozog a határ - komolyabb antennákkal szerelt célhardverekkel ugyanakkor nem lehetetlen ezt számottevően növelni, elég csak a számos üzletben felszerelt, lopásgátló kapukra gondolni.
A MasterCard azt is tagadta, hogy a technológiával pénz lenne levonható az egyérintéses kártyákról. Ahogy a cég fogalmaz: "biztonsággal kijelenthető, hogy egyérintéses technológiát használva illetéktelen személy nem tud pénzt levonni az egyérintéses bankkártyáról. (...) Ennek elsődleges oka, hogy kártyás műveletet csak egyérintéses fizetésre alkalmas, az elfogadói bank hálózatába bekötött kereskedői terminál tud kezdeményezni. Ilyen terminállal csak szerződött kereskedő rendelkezik. Minden kereskedőt a szerződéskötés során és a kereskedők tranzakcióit a működésük során az elfogadó bank rendszeresen ellenőrzi. Ezen túl minden kártyás művelethez az egyérintéses kártyák chipje egyedi kódot generál, amely csak egyetlen tranzakció jóváhagyására használható."
A MasterCard ennél messzebb is megy, és kijelenti: a leolvasható kártyaadatok (kártyaszám, évjárat) "nem teszik lehetővé sem az internetes, sem fizikai környezetben történő fizetést. Tehát ezen kártyaadatok leolvasásával senki nem képes vásárolni, vagy készpénzt felvenni a kártyabirtokos nevében, illetve a kártyát más formában megterhelni".
Nekünk sikerült.
Ahogy arról a téma kapcsán már korábban is beszámoltunk, az NFC-s leolvasáson keresztül viszonylag kevés adat nyerhető ki a kártyákból. Tegnapi (július 20-i) tesztünk alapján csak a kártya száma és lejárata, valamint az utolsó tíz tranzakció időpontja és összege kérdezhető le így - igaz, ehhez szinte akármilyen telefon és egy, az alkalmazásboltból letölthető egyszerű alkalmazás szükséges. Hackelésre, törésre, visszafejtésre egyáltalán nincs szükség, ezeket az adatokat a kártya tálcán adja át mindenkinek, aki megkérdezni.
Az adatok listájáról azonban fontos (vagy fontosnak tűnő) elemek hiányoznak: nincs meg a kártyára írt név, a kibocsátó bank, és persze hiányzik a hátoldalon látható háromjegyű titkos kód (CVC, CVC2 vagy CVV2 néven is ismert). Ugyanígy a kártya PIN-kódja is elérhetetlen.
Alapvető védelmi vonalak hiányoznak
A fenti adatok hiányában hogyan lehet mégis a más pénzét költeni? Akadnak ugyanis kereskedők, mint az Amazon, amelyek a hiányzó adatokat nem kérik - azzal ellentétben, amit a MasterCard állít. Az online óriás felületén csupán a kártya számára és lejárati idejére, illetve a kártyára írt névre kérdez rá, utóbbi pedig tesztünk szerint akármi lehet, a cég azt egyáltalán nem ellenőrzi, a kamu nevet simán elfogadta. A másik két adat (kártyaszám és lejárat) pedig ugye az NFC-s kiolvasás révén rendelkezésre áll, így vásárlás is kezdeményezhető, a tranzakció pedig le is zajlik, az Amazon pedig meg is terheli a bankszámlát.
Erre egyébként a legtöbb webshop esetében persze nincs lehetőség, a webshopok által használt, külső fejlesztésű payment gateway-ek sokkal szigorúbbak, mint az Amazon, és kőkeményen megkövetelik a CVC-kódot. Az Amazon azonban a saját fizetési szolgáltatója (sőt, az Amazon Payments más weboldalakra is beépíthető), a cég pedig eltekint saját hatáskörben a kód használatától - eufemisztikusan "nem támogatja a CVC kódot". Információink szerint az Amazon valószínűleg üzleti döntést hozott, a kód ugyanis a MasterCard irányelvei alapján nem tárolható szerveren (soha), így a felhasználó hiába tárolja el az adatait, a CVC-t minden vásárláskor be kellene írni újra és újra, ez pedig az egykattintásos vásárlást ellehetetlenítené.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Ismét felmerül tehát a kérdés, amelyet szinte napra pontosan egy évvel ezelőtt már feltettünk: miért nem kötelező a CVC hitelesítés a kereskedők számára, és miért nincs egy, a kártyát védő második faktor az online vásárlásoknál is, hiszen az, legalábbis bizonyos összeg fölött, még az egyérintéses bolti vásárlásoknál is kötelező. A választ vélhetően a már említett kényelmesebb, gyorsabb online vásárlási élmény ígéretében kell keresni, kérdés azonban, hogy a biztonsági kockázatok tudatában hány felhasználó sajnálná az időt egyetlen plusz lépésre.
Nem mond igazat a MasterCard
A hab a tortán, hogy az azenpenzem.hu-nak tett MasterCard-nyilatkozattal ellentétben, a több kártyatársaságot, köztük a MasterCardot és a Visát is tömörítő Smart Card Alliance szövetség, a weboldalán elérhető FAQ-ban utal is rá, hogy léteznek az egyérintéses fizetés gyengeségeit kihasználó támadások, noha az iparág "csak bemutatók során" találkozott azokkal - kérdés, hogy a demonstrálható sérülékenységek ellen miért nem sikerült tenni a FAQ közzététele óta eltelt évek során. De ha ellátogatunk a MasterCard kártyacsalásokkal kapcsolatos "mítoszoszlató" weboldalára, az online vásárlásokra vonatkozó visszaéléseknél már a cég is csak annyit ír, a kártyákról megszerezhető adatok "tipikusan" nem elegendők a vásárlásokhoz - a vállalat tehát legutóbbi nyilatkozatával önmagának is ellent mond.
A nagy hangú, magabiztos és komoly sajtót kapó MasterCard-közleménnyel ellentétben tehát tavalyi cikkünk óta semmi nem változott: az egyérintéses fizetésre alkalmas bankkártyákról a kiolvasott adatokkal lehet pénzt költeni, a feketegazdaság használatával pedig az készpénzre is átváltható (például a különböző ajándékkuponoknak hatalmas a másodlagos kereskedelme). Csak hab a tortán, hogy ha a kártya tulajdonosa maga is gyakran vásárol az Amazonon, könnyen lehet, hogy néhány kisebb-nagyobb plusz tétel hosszú ideig fel sem tűnik neki.
Az ügyben megkerestük a MasterCardot is. A cég hazai képviselete többször ígért hivatalos választ, egyelőre azonban ezt nem küldte meg. Ahogy az állásfoglalás megérkezik, frissítjük cikkünket.