Kaliforniát bűntettként "felhalmozta" az RFID-címkéket

Ezen a héten Kalifornia lett a második állam, amely törvényt bocsátott ki, amely illegálisan ellopta az adatokat az RFID (rádiófrekvenciás azonosító) kártyákból.

A törvény olyan büntetést szab, amely maximum 1500 dollár egy év börtönbüntetésre ítélt valakit, aki elítélte az RFID-kártya információinak titkosítását.

Az RFID-chipek, amelyeket világszerte számos alkalmazásban használnak, kis mennyiségű információt tárolnak, amelyet a közeli eszköz képes olvasni. Többek között a chipek felhasználhatók arra, hogy az ügyfelek adatait hitelkártyán tárolják, vagy engedélyezzék az engedélyezett személyek számára, hogy zárt irodaajtókat vagy ajtókat nyitjanak "kulcs nélküli" beléptető rendszerekben.

A kaliforniai törvényjavaslat kivételeket tesz lehetővé bizonyos vészhelyzetek esetén mivel lehetővé teszi az egészségügyi dolgozók számára, hogy beolvassák valakinek az RFID-képes egészségügyi kártyáját, hogy segítsen az embernek. Emellett a rendőrök engedélyt kaptak egy RFID-kártyára vonatkozó információk megismerésére.

A törvényjavaslatot először 2006-ban a California State Senator Joe Simitian vezette be, és a végleges változatot szerdán írta alá a törvénybe. Ezt az amerikai polgári szabadságjogi egyesület és a kaliforniai pisztoly-tulajdonosok között sokféle csoport támogatta.

Ez év elején Washington lett az első olyan állam, amely törvényt fogadott el az RFID-adatok ellopása ellen. Washington egy C osztályú bűntettként teszi lehetővé az RFID kártya adatainak ellopását, kifejezetten csalás, személyazonosság-lopás vagy más illegális célok érdekében. Ez azt jelenti, hogy ha elítélik, a bűncselekmény akár 10 000 dollár bírságot és öt év börtönbüntetést is kaphat.

Bár vannak olyan biztonsági mechanizmusok, amelyeket az RFID kártyák kibocsátói alkalmazhatnak annak megakadályozása érdekében, hogy valaki ellopja az adatokat sokan nem vagy rosszul csinálják, így ezek a törvények segíthetnek elrettenteni a hackerek ellen.

A Stanford Law Review közelmúltban megjelent tanulmánya rámutatott arra, hogy a biztonsági kutatók RFID- rendszereket. Egyik esetben a Johns Hopkins Egyetem kutatói feltörítették az Exxon Mobil gázkártyákon használt Texas Instruments chipek titkosítási kódját. Ezzel a kóddal, egy laptopral és egy egyszerű RFID-eszközzel felfüggesztették a tankjaikat gázzal.

A Stanford-i dokumentum az IO Active számítógépes biztonsági kutatóinak munkáját is említi, bemutatva, milyen könnyen klónozhatják az információkat az építési kártyákon tárolva. Egy másik példában, amelyet a tanulmány ír le, a Massachusetts Egyetem kutatói 150 dollárt költenek egy RFID olvasó létrehozására, és úgy találják, hogy képesek olvasni olyan információkat, mint például az RFID-képes hitelkártyákon tárolt nevek és egyéb adatok. Azt találták, hogy az adatokat a kereskedelmi forgalomban lévő kártyákon tárolták titkosítatlanul és szöveges formában.

A kaliforniai kormányzó ezen a héten megvétózta a Simitian által bevezetett másik kapcsolódó számlát. Ez a törvényjavaslat azt követelte volna meg, hogy az iskolák a szülők írásbeli beleegyezését szerezzék be, mielőtt kibocsátják az RFID-kártyákat a hallgatóknak, akiket fel lehet venni a jelenlét nyilvántartásba vételére vagy a diákok tartózkodási helyének nyomon követésére. Az egy kaliforniai iskolában kiadott, a diákok számára RFID-kártyát kiadó törvényjavaslatot tartalmazó törvényjavaslat azt is előírta, hogy az iskoláknak bizonyos lépéseket kell tenniük a diákok magánéletének védelme érdekében.