Dansk Supermarked vil datamine hash-værdien på din Føtex-kvittering

Men hvorfor venter Nets og bankerne så ikke med at give os (rettere: påtvinge os) kontaktløse kort indtil de har løst sikkerhedsproblemerne?

Når PIN koden ikke anvendes hænger banken på tabet uden selvrisiko.

Det fremgår tydeligt af vilkårene at man ikke hæfter for uforskyldt misbrug af kortet. Det er også det samme som fx Danske Bank skriver i deres pressemeddelelse/nyhed på deres hjemmeside om det nye kontaktløse kort. Vi bliver nød til at forholde os til fakta.

Helt enig med Peter.

Den objektive selvrisiko på 1100 kroner ved misbrug (objektiv = uden at du skal have opført dig uansvarligt) gælder kun hvis PIN koden anvendes. Når PIN koden ikke anvendes hænger banken på tabet uden selvrisiko.

Nej, det gør banken ikke.
Det er sikkert "helt" tilfældigt, men de beløb, der kan trækkes via RFID ligger under din selvrisiko.

Jeg har fundet ud af at EMV arbejder med "Payment Tokenisation", som gør at man ikke behøver at bruge kortnummer i transaktioner - det kunne løse en del privatlivsproblemer....

Men hvorfor venter Nets og bankerne så ikke med at give os (rettere: påtvinge os) kontaktløse kort indtil de har løst sikkerhedsproblemerne?

@Jesper Lund

</p>
<pre><code>Typisk Nets. De sikrer transaktionen, som de selv har en økonomisk interesse i, men at kortholders informationer lækkes til tredjepart, er Nets da ligeglade med.
</code></pre>
<p>Det er et generelt problem for alle trådløse EMV-kort i hele verden... Og det kan Nets ikke løse alene. For det vil kræver en del ændringer i en infrastruktur, som håndtere korttransaktionen (som stadig er designet til formatet på magnetstriben) Bare det at amerikanerne nu går over til chip-løsninger har taget tid!

Den eneste "sikkerhed" der er ved "kontaktløs betaling" er at banken dækker et evt misbrug.

Den eneste "sikkerhed" der er ved "kontaktløs betaling" er at banken dækker et evt misbrug. Det system de bygger de nye NFC kort på i følge Nets er VISAs "Paywave". Man skal ikke søge længe på Startpage for at finde artikler og videoer om hvordan dette system kan misbruges på forskellige måder.

Men debatten om sikkerheden for banken er jeg egentlig ligeglad med. Jeg er mere optaget af forbrugernes sikkerhed, og her kommer overvågningspotentialet ind på førstepladsen. Som man også hurtigt kan søge frem på Startpage og Youtube, så kan kortene aflæses på lang afstand med det rette udstyr.

De små bekvemme løgnehistorier fra Nets og co. om 3-5 centimeter gælder kun for rækkevidden ved brug af deres egne terminaler med små antenner og begrænset sendeeffekt.

Da alle går med deres plastikkort (og pas i udlandet), så kan de potentielt overvåges og deres færden rundt omkring kan let registreres og logges, uden at de ved noget som helst om det. Gode steder til skjult aflæsningsudstyr kunne fx være ved ind-/udgange fra togstationer, busser, metroer, stationer, stadioner, indkøbscentre m.v. Dvs alle offentlige steder hvor der naturligt passerer mange mennesker.

Folk kan tage batteriet ud af deres mobiltelefon for at undgå den kendte overvågning af vores færden med mobiltelefonerne, men tænker de over at de også kan overvåges via RFID? Nej det aner almindelige mennesker intet om og det vil blive udnyttet i vanlig stil af det syge overvågningssamfund vi lever i i dag.

Men ikke kun staten kan overvåge borgerne. Også butikker kan potentielt overvåge kunderne. Dvs. fx både skaffe sig et ID på kunderne via aflæste RFID chips, men også optegne profiler af de forskellige RFID-chips (personers) færden rundt i butikken og senere koble dette med deres betaling med samme kort.

Der er et kæmpe potentiale for overvågning og privatlivskrænkelse i brugen af RFID. Derfor mener jeg at der ikke er andre muligheder end at beskytte sig selv ved at opbevare sit pas og sine plastikkort m.v. (som indeholder en RFID-chip) i Faraday bure. Der er masser af RFID-sikre tegnebøger og pas-hylstre på markedet i dag. Jeg gør det selv konsekvent og jeg vil anbefale andre at gøre det samme.

Tænk på at oplysningerne i ens pas umiddelbart kan aflæses og kopieres eller bruges til identitetstyveri. Det er en alvorlig trussel.

Fk anskaffet mig endnu et faraday bur - tasken til den lille BroBizz. Og jeg fandt ud af at jeg allerede havde nogen Farada-bure, bla. en eller flere gryder og kagedåser og thedåser - og mikrobølgeovnen.

Jeg fik afprøvet noget af det. Hvis det er et effektivt faraday-bur, lukker det så godt som al stråling ude. Også til telefonen. Det virkede fint ved gryden og thedåsen - ingen forbindelse til telefonen. Men termoposen og brobizztasken havde ikke stærk nok afvisning. Da brobizztasken er lavet til formålet, må den være god nok til at forhindre kommunikation omkring en brobizz.

Der findes artikler på nettet omkring de her RFID tegnebøger.

http://www.makeuseof.com/tag/what-are-rfid-blocking-wallets-which-should-you-buy/

Den billigste metode er åbenbart at putte kortet i en gammel tobaksdåse.

Det mest frustrerende her er dog at det overhovedet skal være nødvendigt, hvorfor helvede laver man ikke et system med en kryptochip med en stor unik nøgle som ikke kan udlæses og som alle transaktioner skal køre challenge respons op mod.

I min bil er der en radiostyret fjernbetjent centrallås, der kan man godt finde ud af at det nok ikke er smart at den samme statiske kode kan åbne min bil fordi det så ville være for nemt for en bandit at lave en optagelse og et replay-attack og rende med min bil.

Selvom bankerne holder sig under folks selvrisiko så kan de da ikke være interesseret i at en hel masse folk pludseligt har "hævet penge" og sendt til Rumænien eller Polen og selv skal dække...

Bankernes ry vil da styrtdykke og det endda fra det i forvejen lave tillidsniveau de har i dag.

Finansinstitutionerne arbejder jo som et kartel. Derfor har man sikret sig at kunderne ikke bare kan vælge en konkurrent, hvis man ikke vil have RFID-kort. Man kan også bemærke at det kun bruges til små beløb, som er dækket af kundernes selvrisiko. Så fordelene tales op, og ulemperne overlader de helt til kunderne.

PS: Jeg har fundet PACSAFE, som påstår at have punge etc. som beskytter mod RFID aflæsning. Jeg har ikke prøvet, så jeg tør ikke sige om det virker.

De fleste nyere mobiler i den højere ende har både en NFC chip og en chiplæser.

Jeg brugte programmet "taginfo" til android på min Huawei P8

Hvis man vil sikre sig skal man have sådan en clips som kortet føres ind i med metal på begge sider, NFC er lav energi overførsel så der skal ikke meget beskyttelse til at forhindre at der sker noget.

Har set flere tegnebøger hos lædervare forhandlere som reklamerer med at der er et RF safe slot.

Dog er slottet nok primært sikret "bagud" så man ikke kan aflæse chippen

Dette (meget amerikanske) klip viser hvordan et såkaldt "Tiger Team" bryder ind hos en stor juveler, bl.a ved at aflure ejerens NFC kort.

https://www.youtube.com/watch?v=zA50pSZcesc

Det værste er næsten at det er pinligt nemt at klone et NFC chip kort, alt man behøver er en læser som kan læse kortet og så nogle kort hvor kortets serienummer kan skrives frit og dem kan man købe bl.a hos diverse kinesiske forhandlere.

Hvilke andre former for sikkerhedslag der er i de nye kontaktløse betalingskort, udover at man skal taste PIN, enten hvis beløbet er over 200, eller hver 5 gang, uanset beløbsstørrelse kan jeg ikke se.

Hvis de så evt. lægger kortnummer, udløbsdato og CVC ind i NFC chippen, så er det da først at det bliver nemt at stjæle folks oplysninger.

Har set folk som har lavet NFC læsere med større antenner som kan læse alle NFC kort som kommer forbi i en afstand af helt op til ½ meter så man behøver ikke engang skulle hen og røre ved folk lomme for at læse kortet.

Mener også at have set nogen som har smidt deres kort i mikroovnen for at riste chippen. Dette kan dog ikke anbefales med et dansk kort da vores kort jo også har chip. De kort jeg så havde kun magnetstripe og RFID. Mon ikke også den alm chip man stikker ned i en sprække forsvinder i løbet af nogle år herhjemme når RFID kortene bliver populære.

"Kan elektrostatiske poser, fx som brugt til indpakning af harddiske og pci-kort bruges?"

Bare for sjovt prøvede jeg lige følgende :

Tog min NFC telefon som kan læse NFC tags.

Lod den læse et Mifare NXP kort som jeg har, det blev fint læst.

Derefter puttede jeg det i en antistatisk pose, helt ned i bunden og prøvede igen.

Telefonen kunne stadigvæk sagtens læse kortet.

Konklusion...En ESD pose forhindrer ikke RF kommunikation.

"Derfor, hvis man er meget bange for sin privacy og betaler kontant (og man heller ikke bruger en form for online kvitteringsopbevaring) - vær sikker på at opbevare bonen bag plastic i en mappe eller lign. hvor du nemt kan finde den."

Det nemmeste er at tage en fotokopi af disse bon'er.

Sad på et tidspunkt som kasserer for en personaleforening og jeg tog altid en kopi af de bonner som var thermo-print bonner for uanset hvordan du opbevarer dem så vil de ad åre miste deres tekst og jeg var jo ansvarlig 5 år tilbage så derfor blev bonnerne kopieret.

Den bedste jeg har hørt om var en gut som ville være smart og plastlaminere bonnerne for at undgå at teksten forsvandt.

PS. Nej, det var ikke en kold-laminator han brugte :)

Når først DSG har fået lov til at kæde alle dine indkøb sammen via hash værdien på dit kredtikort så er der jo uanede muligheder for hvad det kan bruges til.

Først tager det ikke ret mange besøg i Føtex med en tændt mobil med wifi, før de har kædet din mobil sammen med dig også, det kan så udnyttes til, udover at vide hvilke varer du køber også at kunne tracke hvilken vej du går gennem føtex.

Hvis jeg så f.eks har en svaghed for chokolade og de kan udlede at de fleste med denne svaghed kommer forbi et bestemt sted i butikken så kan de placere chokoladen der.

Derudover vil man i ekstremen næsten kunne tilpasse prisen efter hvad folk er villige til at betale.

Nu om dage er mange hyldeforkant prisskilte elektroniske og kan justeres remote.

Hvis nu Føtex ser at jeg er typen som kun køber produkt X, når det ligger under Y Kr. så kan de sørge for at når jeg står ved hylden med vare X, så er prisen lige under min smertegrænse.

Det gode ved dette er at de får det maksimale jeg vil betale for varen OG hvis det så f.eks er kartoffelchips og de ved at jeg altid køber dip-mix og creme fraiche når jeg har købt chips, så kan de pumpe prisen på de 2 produkter fordi de ved at jeg ikke er så nøjeregnende med dem når jeg først har taget beslutningen om at jeg vil have chips.

Ergo laver jeg en god deal på chips, men de får så pengene ind igen på dipmix og creme fraiche.

De kan også ved at tracke mig rundt i butikken sørge for at der bliver vist reklamer for de produkter jeg typisk køber på skærmen i det jeg går forbi.

På den måde får min kone vist reklamer for hygiejnebind og jeg får vist reklamer for Gilette skrabere.

Må indrømme at får Føtex lov til det her så vil jeg nok sørge for at handle kontakt i Føtex, jeg gider ikke at der ligefrem laves en købsprofil på mig og nogen, eller alle de ovenstående ting bliver virkelighed.

Man kunne hurtigt blive til grin hvis de lavede det her og alle vidste hvordan det virkede og man så gik forbi og den så viste reklamer for babylotion og ugens rapport. :)

Hvis man ikke opbevarer alle sine RFID-kort i et faraday bur, så kan butikkerne teknisk set tappe oplysninger fra alle ens kort med RFID-chips når man går gennem butikkernes "alarmer" (RFID-scannere). Hvor mange steder mon den form for registering og overvågning sker...

Citat fra artiklen: »Data bliver sendt til Storebox, hvis man som person selv har godkendt det. Og data vil ikke blive brugt til analyseformål, men udelukkende til brug for den enkelte kunde,« siger han.

Men i en mailkorrespondance skriver en advokat følgende svar for Dansk Supermarked: "Sp. 2d: Hvornår og hvorledes giver kunderne i givet fald accept af, at disse oplysninger overføres til en ekstern part?

Det sker ingen steder, da der ikke overføres personfølsomme oplysninger til Kvittering.dk og kortdata overføres krypteret."

Jeg stoler nok mest på advokaten i dette tilfælde --- desværre. Vi skal derfor nok regne med at data overføres til et eksternt firma uanset om vi ønsker det eller ej.

Hvis NETS virkelig har een hemmelig 32 byte-værdi, som de bruger i alle hashes, så er det ikke hvad man forstår ved "salt".

Hvis der er tale om samme slags hashing, som NETS beskriver på:http://www.betalingsterminal.no/Netthandel-forside/Teknisk-veiledning/Overview/

så er det jo ret klart at hashingen ikke (altid) sker i terminalerne, og at NETs mapper hashes tilbage til kortnumre. fx "The Merchant will also be given the hash, and can use this hash in future payments to charge the card holder, without the need for card Holder interaction.". Hvis de kan trække penge fra min bankkonto, så er jeg jo nok ikke helt anonym.

Al den snak og ingen har nævnt at en hashværdi per definition ikke er unik?

Oveni hatten kommer så Dansk Supermarkeds (Bilka) tracking af hvor du befinder dig i butikken (WiFi), da din SmartPhone afslører dig.

Hashværdien kommer direkte fra betalingsterminalen, det ligger i softwaren fra Nets. Kortnummeret er saltet med et hemmeligt salt, på mindst 32 byte = 256-bit (kender ingen nøgler og dermed ikke entropy). Hvis denne bliver kendt, så skal den skiftes i alle betalingsterminaler.

Med 256-bit, så tager det lidt tid at reverse engineer saltet.

For når først det første salt er knækket, så forlanger PCI nok en ændret algoritme med unikt salt per terminal eller transaktion.

Men et kortnummer er vel ikke mere hemmeligt end et CPR nummer. Man kan konstruere alle på få sekunder i et for-loop, men uden tilhørende yderligere info er det ubrugeligt.

Lur mig, om ikke hashværdien i kyndige hænder, kan generere et kortnummer.