Специалисты по безопасности, опрошенные D-Russia.ru, считают большим преувеличением данные о том, что в российских бесконтактных банковских картах найдена серьезная уязвимость. Всё, что удается получить найденным энтузиастами способом, это лог операций, содержащий минимум информации.
Ранее в пятницу СМИ сообщили, что в карточках российских банков с технологией бесконтактной оплаты MasterCard PayPass и Visa PayWave обнаружена уязвимость, которая позволяет просматривать список совершенных покупок.
Чтобы воспользоваться «уязвимостью», требуется смартфон на Android c поддержкой NFC, приложение EMV NFC pay card reader из Google Play, банковская карта с поддержкой PayWave или PayPass. К смартфону, снабженному NFC-считывателем, необходимо поднести банковскую NFC-карту. На экране отобразится номер карточки, а также даты и суммы совершенных платежей.
«Это так называемый Transaction Log — список операций, которые вы провели с этой карты с помощью бесконтактной оплаты с использованием технологий PayWave или PayPass», — говорит заместитель руководителя лаборатории компьютерной криминалистики компании Group-IB Сергей Никитин. По его словам, используя эти данные, невозможно похитить денежные средства с карты. Также нет никакой угрозы, что информация может попасть к третьим лицам.
«Во-первых, отображаются только операции, совершенные бесконтактно, — как правило, на небольшие суммы. Во-вторых, указаны даты и суммы платежа — без описания назначения. Таким образом, эти данные практически бесполезны», — сказал Никитин D-Russia.ru. Помимо этого, расстояние считывания данных крайне небольшое, чтобы добраться до них удаленно, необходимо «серьезное устройство» с хорошей антенной. «Назвать штатную возможность считывания Transaction Log уязвимостью – очень большое преувеличение», — заключил Никитин.
С тем, что это раздутая сенсация, соглашаются и специалисты из компаний Positive Technologies и Zecurion.
«Информация, о которой идет речь, не является критической», — сказал руководитель аналитического центра Zecurion Владимир Ульянов.
Сегодняшнюю историю он связал с общей уязвимостью бесконтактных карт. По его мнению, карты PayPass и PayWave ненадежны с точки зрения безопасности, и деньги с них могут быть украдены мошенниками даже в толпе. Хотя речь идет и о небольших суммах, Ульянов считает, что риски использования таких карт не оправданны. Он даже посоветовал владельцам PayPass/PayWave-карт обертывать их фольгой, хотя об удобствах в таком случае речи быть не может.
Представитель банковской сферы также не увидел в сегодняшней «сенсации» ничего нового. «Считыватель на смартфон установить можно. Также возможно прочесть информацию с карты, в том числе и лог операций, если он прописан. Но там, как правило, минимальное количество информации. Данные, которые в нем отображаются, настраиваются банком», — прокомментировал начальник управления пластиковых карт ВТБ24 Александр Бородкин.
