Régóta megy a vita abban a kérdésben, hogy el lehet-e lopni a farzsebben tartott érintős bankkártyák adatait, illetve ha el is lehet, jók-e egyáltalán valamire ezek az adatok. A rangos brit fogyasztóvédemi lap, a Which? tavaly vette elő a kérdést, nem csak elméletben. Tesztjük során arra jutottak, hogy bárki által könnyen hozzáférhető és olcsó módszerrel, tulajdonképpen egyetlen androidos telefon és egy app segítségével könnyen el lehet lopni az egyérintős (más megfogalmazásban: érintés nélküli) bankkártyákról minden fontos információt, amivel aztán könnyen vissza lehet élni.

A két információ a bankkártya száma és a lejárati dátum – erre szokták azt mondani időnként a kártyatársaságok, hogy ha valaki meg is szerzi ezeket, az még nem elég a visszaéléshez. Nos, a Which? után idén a HWSW informatikai szakoldal ismét kipróbálta: elég. Hagyományos formában, boltba bemenve még nem – ott ugyanis egy kis összeg, 5 ezer forint fölött már PIN-kódot kér a terminál –, de ahogy a fogyasztóvédők kipróbálták, az interneten konkrétan egy 1 milliós tévét is meg lehet így venni, más kártyájával.

Az adatokat egy ingyenes androidos alkalmazással is le lehet lopni egy kártyáról, az alkalmazás rögtön vissza is fejteti a kártya chipjén tárolt adatokat. A MasterCard szerint a leolvasható kártyaadatok, azaz a kártyaszám és a lejárati dátum "nem teszik lehetővé sem az internetes, sem fizikai környezetben történő fizetést. Tehát ezen kártyaadatok leolvasásával senki nem képes vásárolni, vagy készpénzt felvenni a kártyabirtokos nevében, illetve a kártyát más formában megterhelni".

A HWSW tesztje szerint ez így nem igaz. A leolvasható és le is olvasott kártyaadatok birtokában felmentek az Amazonra, ahol hozzáadták a bankkártyát a saját fiókjukhoz: mint kiderült, a “név” mezőbe bármilyen nevet be lehet írni, azt elfogadja a rendszer; a legfőbb biztonsági elemként emlegetett, a kártya hátoldalán található háromjegyű CVC/CVV kódot pedig egyáltalán nem is kérik. Az informatikai szakoldal azt írja: ez azért van, mert a titkos kód használatát a kártyatársaságok csupán opcionális lehetőségként kínálják az online kereskedők számára, a kereskedő saját hatáskörben eltekinthet ettől, az egyik legnagyobbnak számító Amazon pedig – üzletpolitikai okok miatt – el is tekint.

Azt ugyanakkor a HWSW már korábban is elismerte, hogy végső védelemként ott a kártyatársaság és a bank, amelyeknél lehet reklamálni a jogosulatlan hozzáférés miatt, és némi átfutási idővel visszakérhető a kár értéke.