Эксперты: сообщения об уязвимости карт PayPass и PayWave – раздутая сенсация

Специалисты по безопасности, опрошенные D-Russia.ru, считают большим преувеличением данные о том, что в российских бесконтактных банковских картах найдена серьезная уязвимость. Всё, что удается получить найденным энтузиастами способом, это лог операций, содержащий минимум информации.

Ранее в пятницу СМИ сообщили, что в карточках российских банков с технологией бесконтактной оплаты MasterCard PayPass и Visa PayWave обнаружена уязвимость, которая позволяет просматривать список совершенных покупок.

Чтобы воспользоваться «уязвимостью», требуется смартфон на Android c поддержкой NFC, приложение EMV NFC pay card reader из Google Play, банковская карта с поддержкой PayWave или PayPass. К смартфону, снабженному NFC-считывателем, необходимо поднести банковскую NFC-карту. На экране отобразится номер карточки, а также даты и суммы совершенных платежей.

«Это так называемый Transaction Log – список операций, которые вы провели с этой карты с помощью бесконтактной оплаты с использованием технологий PayWave или PayPass», – говорит заместитель руководителя лаборатории компьютерной криминалистики компании Group-IB Сергей Никитин. По его словам, используя эти данные, невозможно похитить денежные средства с карты. Также нет никакой угрозы, что информация может попасть к третьим лицам.

«Во-первых, отображаются только операции, совершенные бесконтактно, – как правило, на небольшие суммы. Во-вторых, указаны даты и суммы платежа – без описания назначения. Таким образом, эти данные практически бесполезны», – сказал Никитин D-Russia.ru. Помимо этого, расстояние считывания данных крайне небольшое, чтобы добраться до них удаленно, необходимо «серьезное устройство» с хорошей антенной. «Назвать штатную возможность считывания Transaction Log уязвимостью – очень большое преувеличение», – заключил Никитин.

С тем, что это раздутая сенсация, соглашаются и специалисты из компаний Positive Technologies и Zecurion.

«Информация, о которой идет речь, не является критической», – сказал руководитель аналитического центра Zecurion Владимир Ульянов.

Сегодняшнюю историю он связал с общей уязвимостью бесконтактных карт. По его мнению, карты PayPass и PayWave ненадежны с точки зрения безопасности, и деньги с них могут быть украдены мошенниками даже в толпе. Хотя речь идет и о небольших суммах, Ульянов считает, что риски использования таких карт не оправданны. Он даже посоветовал владельцам PayPass/PayWave-карт обертывать их фольгой, хотя об удобствах в таком случае речи быть не может.

Представитель банковской сферы также не увидел в сегодняшней «сенсации» ничего нового. «Считыватель на смартфон установить можно. Также возможно прочесть информацию с карты, в том числе и лог операций, если он прописан. Но там, как правило, минимальное количество информации. Данные, которые в нем отображаются, настраиваются банком», – прокомментировал начальник управления пластиковых карт ВТБ24 Александр Бородкин.