Augusztus 30-án közzétettünk egy cikket a Paypass kártyák használatáról és működéséről. A cikk írása alatt persze próbáltam minél pontosabb képet kapni a Paypass rejtelmeiről, így sok helyen olvastam cikkeket és egy-két videót is megnéztem. Ez alatt botlottam bele egy komoly biztonsági résbe, legalábbis abba, ami annak volt leírva. Nyilván nem hagyott nyugodni a tény…
A rés annyira komolynak ígérkezett, hogy nem tudtam elképzelni, hogy ez tényleg létezik, így megpróbáltam utánajárni. De mielőtt rátérnénk a tortúrára, lássuk mi is a probléma:
A biztonsági szakadék egy módszer, amivel ellophatják kártyaadatainkat, vagy akár pénzünk egy részét is. Egyszerűen fogalmazva, a tolvaj mindössze annyit tesz, hogy mellénk áll például a buszon egy kártyaleolvasóval (RFID vagy NFC technológia kell hozzá) a táskájában és lehúzza kártyánk adatait vagy leemel egy ötezer forintnál kisebb összeget – amihez ugye a Paypass esetén, pin kód se kell. A kártyát nem védi semmi, hiszen pont arra hivatott, hogy gyorsan és mindenféle gombnyomás nélkül lehessen vele fizetni. Erre a módszerre utal a következő videó és cikk is:
https://www.youtube.com/watch?v=vmajlKJlT3U
http://www.mymoneycoach.ca/credit_rating/how-to-protect-self-from-electronic-smart-card-identity-credit-card-theft.html
Az utánajárás éppen csak nehezebbnek tűnt, mint ahogy képzeltem. Megkerestem a Paypass kártyákat forgalmazó MasterCard honlapját és az első betűtől az utolsóig végigolvastam, de említés se esett hasonlóról. Majd következett az ügyfélszolgálat, vagyis helyesebben következett volna, de sajnos Magyarországon ilyen nincs. Nem adom fel, akkor legyen a nemzetközi változat!
A telefonban egy közel se készséges munkatárs jelentkezett, aki már a probléma bemutatásának felénél a szavamba vágott és bizonygatta, hogy ő erről sose hallott, ilyet sose látott és a probléma nem létezik. Pedig elég lett volna annyit is mondani, hogy erre a MasterCard által kifejlesztett biztonsági kódolás miatt nincs lehetőség, de e helyett a válasz az volt, hogy ez a probléma ismeretlen, erről nem hallott. A beszélgetés a kellemes hangvétel ellenére se tartott sokáig, de befejezésképpen azért megadta az illető a honlapon amúgy is megtalálható címet, hogy ha valami nem tetszik, írjak oda.
Írtam egy korrekt levelet, linkekkel és a probléma leírásával. Erre válaszként két sort kaptam, ami leírja, hogy a kártya nélkül nem mehet végbe tranzakció: „Actually, there is one to one ratio between the encrypted card data and the RFID antenna. This actually prohibits a transaction from taking place without the actual card.” (Valójában, a kártya adatok és az RFID antenna közt direkt, egy az egyhez kapcsolat áll fenn. Ez meggátolja azt, hogy a kártya nélkül menjen végbe a tranzakció.) A problémára tehát nem, hogy választ nem kaptam, de ha más nem akkor a leírásomon kívül a video és a cikk tartalmát sem sikerült feldolgoznia az illetőnek, hiszen én azt nem állítottam, hogy a kártya nélkül megy végbe a tranzakció.
A második levélben igyekeztem didaktikusabb lenni és lépésről lépésre leírtam, hogy mi történik. Erre már sikerült választ adni, miszerint a MasterCard RFID antenna és a Paypass kártya közt egy háromszoros kódolási eljárás van, ami biztosítja a kártya védelmét.
A kérdés csak az, hogy miért kellett ehhez a pár sor információhoz ennyi kört futni? A MasterCard nyilván képben van a problémákkal és valószínűleg védekezik ellene. Az csak jó, ha ezt leírja és növeli a kártya biztonságosságának hitelességét. Azt szintén érdemes elmondani, hogy egy pénzügyi-technológiai újítás esetében különösen is fontos a bizalom megteremtése, ehhez pedig a fenti leírásnál egy kicsivel több energiát érdemes fordítani.
Persze a Paypass esetében már az is elég lehet, ha valaki ellopja a kártyát és egyszerűen csak fizet vele. Igaz, a vásárlási limit miatt, így se jut messzire a tolvaj.