Maksukortti kuin käyntikortti

LEHDISTÖTIEDOTE 8.5.2013

Maksukortti kuin käyntikortti

Etäluettava maksukortti voi olla merkittävä tietoturva- ja yksityisyysriski.

NFC-teknologiaan perustuvalla etälukuominaisuudella varustettuja maksukortteja on alkanut ilmestyä myös suomalaiskuluttajien lompakoihin. Ne tukevat Visa PayWave- ja MasterCardin PayPass -määrityksiä, joiden avulla pieniä maksuja voi maksaa vain vilauttamalla korttia kaupan tai kioskin kassalla lukulaitteen lähellä.

Käytännössä lukulaite eli skanneri hakee kortilla sijaitsevalta sirulta samat tiedot, jotka on painettu kortin etupuolelle: kortinhaltijan nimen, kortin numeron ja kortin viimeisen voimassaolopäivän. Kortin takana allekirjoituskentän vieressä sijaitsevaa kolminumeroista CVV2-tunnistetta eikä PIN-koodia skanneri ei sen sijaan pääse lukemaan.

Nixun maksukorttiturvallisuudesta vastaava vanhempi tietoturvakonsultti Niki Klaus kertoo, että maailmalta on jo kantautunut varoittavia kommentteja etäluettaviin maksukortteihin liittyvistä riskeistä, vaikka todellisia väärinkäytöksiä on tehty korttien pienen määrän takia vähän. 

"Lukulaitteet ovat kuitenkin edullisia, ja saman asian ajavat NFC-ominaisuudella varustetut puhelimet yleistyvät kaiken aikaa. Niissä tarvitaan vain sopiva ohjelma korttien tietojen lukemiseksi. Sekä kortteja että lukulaitteita on pian jokaisen taskussa."

Todellinen uhka

Etäluettavat korttitiedot eivät yleensä riitä verkkokauppaostosten tekoon, sillä tyypillisesti kaupat kysyvät asiakkaalta myös CVV2-tunnistetta. Kotimaisissa verkkokaupoissa ongelmaa ei ole, sillä asiakas joutuu korttitietojen lisäksi lähes poikkeuksetta tunnistautumaan pankkinsa antamilla verkkopankkitunnuksilla. Joissakin ulkomaisissa verkkokaupoissa ei kuitenkaan kysytä edes CVV2-tunnistetta, sillä ostamisen helppous on niille niin tärkeä kilpailuetu. 

"Päätimme kokeilla Nixulla, miten ostosten teko onnistuu itse skannatuilla tiedoilla. Luimme vakioskannerilla yhden maksukortin tiedot ja teimme niiden avulla ostoksen yhdestä maailman suurimmista verkkokaupoista. Tilaus tehtiin työosoitteeseen, rahat menivät tililtä ja paketti on parhaillaan postissa tulossa Suomeen."

Klaus kertoo, että normaali lukulaite pystyi lukemaan tiedot kortista, joka oli farkkujen taskussa sijaitsevassa lompakossa. Skanneri oli noin sentin etäisyydellä farkuista. 

"Todennäköisesti vähääkään viritellympi lukulaite pystyisi samaan kymmenien senttien päästä. Skannausaika oli sekunnin luokkaa, joten esimerkiksi bussissa vieressä istuvan henkilön tietojen luku tämän huomaamatta on täysin mahdollista."

Nimikortti rinnassa

Tiedot varastaneen huijarin kiinnijäämisen riski on vähäinen, sillä omat jälkensä saa hävitettyä verkossa eikä kuriiriyhtiö kysele henkilöllisyystodistusta. Tietovarkauden uhri eli etäluettavan kortin haltija ei onneksi joudu korvausvastuuseen, vaan taloudellinen menetys jää luottokortin myöntäjän ja tuotteen myyneen verkkokaupan keskinäiseksi asiaksi. Tiliote ja luottokorttilasku kannattaa joka tapauksessa tarkastaa entistäkin huolellisemmin.

"Toiseksi ongelmaksi kuluttajan kannalta saattavat muuttua erilaiset yksityisyyden loukkaukset, sillä etäluettavan maksukortin kantajan nimi selviää skannerin käyttäjälle lähes yhtä helposti kuin rintaan kiinnitetystä nimilapusta. Kuka tahansa voisi esimerkiksi baarissa vilkaista vierustoverinsa nimen skannerin avulla", Klaus pohtii.

Lisätietoja:
Niki Klaus 
Nixu Oy
puh. 050 394 8996
niki.klaus@nixu.com

Nixu Oy on Pohjoismaiden suurin tietoturvakonsultointiyritys. Yritysasiakkaamme luottavat riippumattomaan osaamiseemme tietoturvan kehitykseen, toteutukseen ja tarkastukseen liittyvissä hankkeissa. Varmistamme asiakkaidemme tietovastuun toteutumisen huolehtimalla toiminnan jatkuvuudesta, sähköisten palvelujen esteettömyydestä sekä asiakastietojen suojaamisesta. www.nixu.fi