Беспроводная кража личных данных

Кража личных данных с помощью беспроводной связи , также известная как кража бесконтактных личных данных или с помощью RFID кража личных данных , представляет собой форму кражи личных данных, описываемую как «акт компрометации личной идентификационной информации человека с использованием беспроводной ( радиочастотной ) механики». ^[1] О краже личных данных в беспроводной сети было написано множество статей, а на телевидении было проведено несколько исследований этого явления. ^[2]^[3]^[4] По словам Марка Ротенберга из Информационного центра электронной конфиденциальности , кража личных данных через беспроводную сеть является серьезной проблемой, поскольку конструкция бесконтактных (беспроводных) карт по своей сути несовершенна, что увеличивает уязвимость к атакам. ^[5]

Обзор

Кража личных данных по беспроводной связи — это относительно новый метод сбора личной информации людей с радиочастотных карт, находящихся при себе в их контрольном доступе , кредитных, дебетовых или удостоверениях личности, выданных государством. ^[6] Каждая из этих карт содержит чип радиочастотной идентификации, который реагирует на определенные радиочастоты. Когда эти «метки» вступают в контакт с радиоволнами, они отвечают слегка измененным сигналом. Ответ может содержать закодированную личную информацию, включая имя владельца карты, адрес, номер социального страхования, номер телефона и соответствующую информацию об учетной записи или сотруднике. ^[7]

После захвата (или «сбора») этих данных можно затем запрограммировать другие карты так, чтобы они реагировали идентичным образом («клонирование»). Многие веб-сайты посвящены обучению людей тому, как это делать, а также поставке необходимого оборудования и программного обеспечения. ^[8]^[9]

Финансово-промышленный комплекс мигрирует ^{[ на момент? ]} от использования магнитных полос на дебетовых и кредитных картах, которые технически требуют проведения через устройство считывания магнитных карт. Количество транзакций в минуту может быть увеличено, и больше транзакций может быть обработано за более короткое время, что, возможно, приведет к сокращению очередей в кассе. ^[10]

Споры

Академические исследователи и хакеры «Белой шляпы» проанализировали и задокументировали скрытую кражу информации о кредитных картах RFID и были встречены как опровержениями, так и критикой со стороны агентств, выпускающих RFID-карты. ^[1]^[11] Тем не менее, после публичного раскрытия информации, которая могла быть украдена с помощью недорогих самодельных детекторов, которые использовались для сканирования карточек в почтовых конвертах (а в других исследованиях даже посредством атак с использованием данных из автомобиля), разработка функций безопасности на различных карты были обновлены, чтобы удалить имена владельцев карт и другие данные. ^[1]^[11] Кроме того, ряд полностью незашифрованных карточек были преобразованы в системы зашифрованных данных. ^[1]^[11]

Отчет РСА

Вопросы, поднятые в отчете за 2006 год, имели важное значение из-за уже выпущенных десятков миллионов карт. ^[1]^[11] Данные кредитных и дебетовых карт могут быть украдены с помощью специальных недорогих радиосканеров без физического прикосновения к картам или их извлечения из кармана, сумочки или сумки владельца. ^[1]^[11] Среди результатов исследования 2006 года «Уязвимости в кредитных картах с поддержкой RFID первого поколения» и в отчетах других хакеров:

на некоторых отсканированных кредитных картах были указаны имена их владельцев, номера карт и сроки их действия; ^[1]^[11]
что небольшое максимальное расстояние сканирования карточек и меток (обычно измеряемое в дюймах или сантиметрах) можно увеличить до нескольких футов за счет технологических модификаций; ^[1]^[11]
что даже без технологий расширения радиуса действия « Черные Шляпники» , прогуливаясь по людным местам или раздавая листовки, могут легко перехватывать данные карт других людей и из почтовых конвертов; ^[1]^[11]
что эксперты по безопасности, просматривавшие результаты исследования, были поражены нарушением конфиденциальности исследования (проведенного в 2006 году); ^[1]^[11]
что другие электронные системы, такие как Exxon Mobil от Speedpass платежное устройство с цепочкой ключей , использовали слабые методы шифрования, которые можно было скомпрометировать примерно за полчаса вычислительного времени; ^[1]^[11]
что отсканированные украденные данные некоторых карт быстро дали реальные номера кредитных карт и не использовали токены данных; ^[1]^[11]
что данные, незаконно полученные с некоторых карт, были успешно использованы для того, чтобы обманом заставить обычный коммерческий кард-ридер (используемый исследовательской группой) принимать транзакции покупок в интернет-магазине, которые не требовали ввода кодов проверки карт; ^[1]^[11]
что, хотя системы безопасности более высокого уровня разрабатывались и продолжают разрабатываться и доступны для кредитных карт RFID, только сами банки решают, какой уровень безопасности они хотят обеспечить для своих держателей карт; ^[1]^[11]
что каждая из 20 протестированных в исследовании карт была побеждена хотя бы одной из атак, примененных исследователями; ^[1]^[11]
Другая связанная с этим угроза безопасности касалась другого продукта: новых электронных паспортов, выпущенных правительством ( паспорта , которые теперь содержат метки RFID, аналогичные кредитным и дебетовым картам). RFID-метки в электронных паспортах также подвергаются атакам с целью кражи данных и клонирования. ^[1] Правительство США выдает электронные паспорта с 2006 года. ^[5]^[11]

В связанном с этим вопросе группы по обеспечению конфиденциальности и отдельные лица также выразили обеспокоенность по поводу « Большого брата », когда существует угроза для отдельных лиц со стороны их агрегированной информации и даже отслеживания их перемещений со стороны агентств по выпуску карт, других сторонних организаций и даже правительств. . ^[12] Отраслевые обозреватели заявили, что « ...RFID определенно потенциально может стать самой агрессивной потребительской технологией за всю историю. ' ^[12]

Агентства-эмитенты кредитных карт выпустили заявления с опровержением кражи личных данных или мошенничества с использованием беспроводной связи, а также предоставили маркетинговую информацию, которая либо прямо критиковала, либо подразумевала, что:

помимо самих данных карты, в их платежных системах предусмотрены другие меры по защите данных и борьбе с мошенничеством для защиты потребителей; ^[11]
в академическом исследовании, проведенном в 2006 году, использовалась выборка всего из 20 карт RFID, и оно не было точно репрезентативным для общего рынка RFID, который обычно использовал более высокий уровень безопасности, чем протестированные карты; ^[11]
незашифрованная текстовая информация на картах была «...практически бесполезна» (сама по себе), поскольку финансовые транзакции на них были привязаны к используемым системам проверки с мощными технологиями шифрования; ^[11]
даже если бы потребители стали жертвами мошенничества с кредитными картами RFID или кражи личных данных, они не несут финансовой ответственности за такое мошенничество с кредитными картами. ^[11] (маркетинговая стратегия, которая игнорирует другие серьезные последствия для держателей карт после того, как они были связаны с мошенническими транзакциями или были украдены их личные данные ); ^{[ нужна ссылка ]}

После публикации результатов исследования все компании-эмитенты кредитных карт, с которыми удалось связаться в ходе расследования New York Times, заявили , что они удаляют имена владельцев карт из данных, передаваемых с помощью их новых RFID-карт второго поколения. ^[5]^[11]

Скомпрометированные документы, удостоверяющие личность в США

Некоторые официальные документы, удостоверяющие личность, выданные правительством США, паспорта США , паспортные карты, а также расширенные водительские права, выданные штатами Нью-Йорк и Вашингтон, содержат чипы RFID, предназначенные для помощи тем, кто охраняет границу США. ^[13] При их использовании были выявлены различные проблемы безопасности, в том числе способность «черных шляп» собирать свои идентификационные номера на расстоянии и применять их к пустым поддельным документам и картам, присваивая таким образом идентификаторы этих людей. ^[13]

Были выявлены различные проблемы и потенциальные проблемы с их использованием, включая проблемы конфиденциальности. Хотя номер RFID-идентификатора, связанный с каждым документом, не должен включать в себя личную идентификационную информацию, «…числа меняются со временем, и способы их использования меняются со временем, и в конечном итоге эти вещи могут раскрыть больше информации, чем мы изначально ожидаем», — заявил Тадаёси Коно: доцент кафедры информатики Вашингтонского университета , который участвовал в изучении таких правительственных документов. ^[13]

См. также

Ссылки

^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п Хейдт-Бенджамин, Томас С; Бейли, Дэниел В.; Фу, Кевен Э; Джулс, Ари; О'Хара, Том (22 октября 2006 г.), Уязвимости в кредитных картах первого поколения с поддержкой RFID (PDF) (проект исследования), Амхерст, Массачусетс; Бедфорд, Массачусетс; Салем, Массачусетс: Массачусетский университет; Лаборатории РСА; Иннеальта , получено 14 марта 2009 г.
^ Ньюитц, Аннали (май 2006 г.), «Подполье RFID-хакинга» , Wired , vol. 14, нет. 5 .
^ Феникс , КПХО-5 ^{[ постоянная мертвая ссылка ]}.
^ Видео , Остин: KVUE-24, заархивировано из оригинала 27 октября 2008 г. , получено 25 мая 2008 г.
^ Jump up to: ^а ^б ^с Уэстон, Лиз Пуллиам (21 декабря 2007 г.), «Новые кредитные карты позволяют осуществлять кражу без помощи рук» , Money Central , MSN, заархивировано из оригинала 30 апреля 2011 г. , получено 14 марта 2009 г.
^ Заявление о позиции по использованию RFID в потребительских товарах , Electronic Frontier Foundation .
^ Мансури, Джамель (август 2017 г.). «Динамический и адаптивный метод обнаружения затопления в беспроводных сенсорных сетях». Международный журнал систем связи . 30 (12): е3265. дои : 10.1002/dac.3265 . S2CID 28210742 .
^ «RFIDIOt.org — инструменты RFID IO» . 14 ноября 2023 г. Архивировано из оригинала 14 ноября 2023 г. Проверено 14 ноября 2023 г.
^ RFID , Texas Instruments, заархивировано из оригинала 16 августа 2013 г. , получено 25 мая 2008 г.
^ «Микро-тег» , Paywave , США : Visa, заархивировано из оригинала 29 марта 2009 г. , получено 12 апреля 2009 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д ^р ^с ^т Шварц, Джон (23 октября 2006 г.), «Исследователи видят ловушки конфиденциальности в кредитных картах без считывания» , The New York Times .
^ Jump up to: ^а ^б Бут-Томас, Кэти; Барнс, Стив; Крей, Дэн; Эстулин, Хаим; Исраэль, Джефф; Мустафа, Надя; Шварц, Дэвид; Торнбург, Натан (22 сентября 2003 г.), «The See-It-All Chip» , Time , заархивировано из оригинала 7 марта 2008 г.
^ Jump up to: ^а ^б ^с Наоне, Эрика (декабрь 2008 г.), Идентификация: Проблема безопасности RFID: действительно ли безопасны паспортные карты США и водительские права новых штатов с RFID? , Обзор технологий , Массачусетский технологический институт .

Дальнейшее чтение

Ганнсл, Дэниел Дж. (декабрь 2008 г.), «Как защитить себя от кражи личных данных с помощью высокотехнологичных RFID», Как сделать практически все .
Херригель, Александр; Чжао, Цзянь (09 февраля 2006 г.), ван Ренесс, Рудольф Л. (редактор), «Кража личных данных RFID и меры противодействия, оптическая безопасность и методы сдерживания подделок VI», Proceedings of the SPIE , 6075 (6075), Гарвард: 366 –379, Bibcode : 2006SPIE.6075..366H , doi : 10.1117/12.643310 , S2CID 62157071 .
Маркофф, Джон (15 марта 2006 г.), «Исследование показывает, что чипы в идентификационных метках уязвимы для вирусов» , The New York Times , получено 14 марта 2009 г. (о том, как намеренно поврежденные RFID-метки могут привести к попаданию вирусов в компьютерные системы).
Зельцер, Ларри (20 февраля 2009 г.), «Разоблачение мифа о безопасности паспортных карт» , eWeek , получено 14 марта 2009 г.

[HB-B-F-J-O-1] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п Хейдт-Бенджамин, Томас С; Бейли, Дэниел В.; Фу, Кевен Э; Джулс, Ари; О'Хара, Том (22 октября 2006 г.), Уязвимости в кредитных картах первого поколения с поддержкой RFID (PDF) (проект исследования), Амхерст, Массачусетс; Бедфорд, Массачусетс; Салем, Массачусетс: Массачусетский университет; Лаборатории РСА; Иннеальта , получено 14 марта 2009 г.

[2] Ньюитц, Аннали (май 2006 г.), «Подполье RFID-хакинга» , Wired , vol. 14, нет. 5 .

[3] Феникс , КПХО-5 ^{[ постоянная мертвая ссылка ]}.

[4] Видео , Остин: KVUE-24, заархивировано из оригинала 27 октября 2008 г. , получено 25 мая 2008 г.

[MSN-5] Jump up to: ^а ^б ^с Уэстон, Лиз Пуллиам (21 декабря 2007 г.), «Новые кредитные карты позволяют осуществлять кражу без помощи рук» , Money Central , MSN, заархивировано из оригинала 30 апреля 2011 г. , получено 14 марта 2009 г.

[6] Заявление о позиции по использованию RFID в потребительских товарах , Electronic Frontier Foundation .

[7] Мансури, Джамель (август 2017 г.). «Динамический и адаптивный метод обнаружения затопления в беспроводных сенсорных сетях». Международный журнал систем связи . 30 (12): е3265. дои : 10.1002/dac.3265 . S2CID 28210742 .

[8] «RFIDIOt.org — инструменты RFID IO» . 14 ноября 2023 г. Архивировано из оригинала 14 ноября 2023 г. Проверено 14 ноября 2023 г.

[9] RFID , Texas Instruments, заархивировано из оригинала 16 августа 2013 г. , получено 25 мая 2008 г.

[10] «Микро-тег» , Paywave , США : Visa, заархивировано из оригинала 29 марта 2009 г. , получено 12 апреля 2009 г.

[NYT-11] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д ^р ^с ^т Шварц, Джон (23 октября 2006 г.), «Исследователи видят ловушки конфиденциальности в кредитных картах без считывания» , The New York Times .

[Time-12] Jump up to: ^а ^б Бут-Томас, Кэти; Барнс, Стив; Крей, Дэн; Эстулин, Хаим; Исраэль, Джефф; Мустафа, Надя; Шварц, Дэвид; Торнбург, Натан (22 сентября 2003 г.), «The See-It-All Chip» , Time , заархивировано из оригинала 7 марта 2008 г.

[Naone-13] Jump up to: ^а ^б ^с Наоне, Эрика (декабрь 2008 г.), Идентификация: Проблема безопасности RFID: действительно ли безопасны паспортные карты США и водительские права новых штатов с RFID? , Обзор технологий , Массачусетский технологический институт .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]