postcard-sicherheit.ch führt Unsicherheit der Postkarten vor
Die Webseiten von postcard-sicherheit.ch informieren über die Unsicherheit der alten (nicht-EMV) Postkarten der PostFinance, welche deren Klonen erlaubt. Einzig dafür benötigte (und vereinzelt leicht zu beschaffende) Informationen sind:
- Postkartennummer
- Das Ausgabe-/Ablaufdatum
Die Seiten starten mit Informationen von Bernd R. Fix, der die Sicherheitslücke am 23C3 in Berlin mit seinem Vortrag A not so smart card erstmals publik gemacht hat. Später werden auch Informationen der neuen EMV-Karten der PostFinance veröffentlicht, die nach deren eigenen Angaben seit Mitte 2006 herausgegeben werden und theoretisch (bei Ausnutzung der EMV-Funktionalität) sicherer sein sollten, allerdings versprechen erste Untersuchungen seitens Bernd R. Fix keine erhöhte Sicherheit.
Die PostFinance soll durch die Öffentlichmachung der Unsicherheit ihrer Postkarten dazu bewegt werden auf technischem oder rechtlichem Wege die Kundensicherheit zu erhöhen. Dies nachdem die PostFinance eine 4-jährige Schonfrist genossen hat - und nun Hinweise auf die Unsicherheit ihrer Karten schlichtweg relativiert oder ausschliesst, wie z.B. ein Zitat von Alex Josty der PostFinance auf BloggingTom entblösst. Ebenfalls zeigt die diesbezügliche Korrespondenz mit der PostFinance keine grössere Einsicht der Problematik auf.
Ein Weg, welcher der PostFinance rechtlich zustünde, um die Kundensicherheit zu erhöhen, wäre ihre Teilnahmebedingungen auf das Niveau der Kreditkarten anzuheben, d.h. in Missbrauchsfällen primär für finanzielle Schäden des Kunden aufzukommen.
Bernd R. Fix arbeitet im CCC-Umfeld mit dem CCC Berlin (CCCB) und dem CCC Zürich (CCCZH) zusammen, um die Öffentlichkeit über die Sicherheitsproblematik breiter zu informieren.
jetzt kommentieren? 10. Februar 2007 hmm