osa <w...@p...fm> writes:

> Mieli zapisać limity ale miejsca na karcie brakło, bo musieli
> zarezerwować na listę ostatnich transakcji ;) Fakt, że na karcie jest
> też lista ostatnich X transakcji to takie moje wczorajsze odkrycie
> przy zabawie z kartami EMV. Trochę dziwi, że karty chętnie dzielą się
> z każdym zainteresowanym różnymi danymi dot. użytkownika - oczywiście
> dane te są jawne i można je odczytać każdym czytnikiem kart chipowych.

Co teoretycznie powinno powodować nielegalność tych kart w Polsce.
Rzecznik coś tam raz na jakiś czas powie/napisze, ale jakoś niezbyt
głośno.

> Wszak zapisanie szczegółów ostatnich 10 (i więcej) transakcji czemuś
> służy (ktoś wie czemu?).

Żeby można było stwierdzić, że daną kartą (a nie np. jej klonem)
dokonano (lub nie) danej transakcji (fraudu).

> Zgłębiam jeszcze tajniki negocjacji sposobu autoryzacji transakcji i
> wnioski też nie są zbyt optymistyczne: mimo, że można wymusić aby PIN
> między terminalem i kartą był szyfrowany to banki z jakiegoś powodu
> proponują' terminalowi przesłanie go w sposób jawny, nawet jeśli
> obsługuję on metodę szyfrowaną. A fakt, że taką transmisję można
> stosunkowo łatwo podsłuchać... no ale przecież to użytkownik odpowiada
> za transakcje z użyciem PINu.

Teoretycznie, to niby nie.
A praktycznie, to i bez PINu często odpowiada.

> No ale to na razie początek mojej analizy danych z kart emv więc na
> razie nie będę siał (większej) paniki ;)

Prawda jest taka, że nie należy takich kart "tracić". Tyle że
w kontekście NFC "utrata karty" zaczyna oznaczać coś innego.
--
Krzysztof Hałasa