W technologii bezstykowej używanej w kartach Visa wykryto poważną lukę, która umożliwia obejście limitu transakcji bez znajomości kodu PIN.

Według oficjalnej strony firmy Visa płatności zbliżeniowe zostały już zaakceptowane na masową skalę na wielu rynkach, także w Polsce, gdzie co miesiąc karty z bezstykową technologią payWave zbliżane są do terminali prawie 20 mln razy (dane z końca 2013 roku). Dużo jednak wskazuje na to, że technologia ta nie jest tak bezpieczna, jak twierdzi Visa, na co kilkakrotnie zwracano uwagę w Dzienniku Internautów uwagę, np. w artykule Zabezpieczania kart zbliżeniowych są fikcyjne? To nic, i tak musisz mieć taką kartę!

Na konferencji CCS 2014, która odbywa się właśnie w Arizonie, badacze z uniwersytetu w Newcastle (Wielka Brytania) mają przedstawić szczegóły podatności w bezstykowej technologii wykorzystywanej przez Visę.

Jak pewnie wiecie, wymaga ona podania kodu PIN jedynie przy płatnościach powyżej 50 zł (lub po przekroczeniu limitu ustalonego dla danej karty przez bank). Transakcje na kwotę poniżej 50 zł nie muszą być potwierdzane. Podobne limity obowiązują także w innych krajach, np. w Niemczech zapłacimy zbliżeniowo bez podawania PIN-u, robiąc zakupy na kwotę nie wyższą niż 25 euro, w Wielkiej Brytanii barierę stanowi 20 funtów.

Martin Emms i współpracujący z nim badacze ustalili, że limity można zwiększać, nie podając kodu PIN - należy tylko zmienić walutę transakcji na obcą. W ten sposób złodziej karty (albo smartfona z aplikacją płatniczą) otrzyma do swojej dyspozycji kwotę w wysokości 999 999,99 w danej walucie.

Według Niebezpiecznika, który jako jeden z pierwszych poinformował o luce, badacze prawdopodobnie nie wzięli pod uwagę, że nabicie transakcji na terminalu nie jest jednoznaczne z natychmiastowym dostępem do pieniędzy. Często na rozliczenie trzeba (przynajmniej w Polsce) poczekać. I właśnie na etapie rozliczenia agent rozliczeniowy może wykryć i zablokować podejrzane transakcje - czytamy w Niebezpieczniku. Na ostateczną ocenę trzeba jednak zaczekać do czasu, aż brytyjscy eksperci opublikują wyniki swoich badań.

Warto nadmienić, że Rada ds. Systemu Płatniczego przy NBP postulowała już jakiś czas temu, by zarówno wydawca karty, jak i klient mieli możliwość zarządzania funkcją zbliżeniową poprzez jej wyłączenie/włączenie. Czy któryś z polskich banków już to wprowadził? W obliczu opisanego zagrożenia taka opcja byłaby jak znalazł.

[Anna Wasilewska-Śpioch]