California gjør det kriminelt å skumme RFID-tagger

Loven fastsetter en straff som inkluderer en maksimal bot på US $ 1.500 og opptil et år i fengsel for noen dømt for å surreptitiously lese informasjon fra et RFID-kort.

RFID-sjetonger, brukt i et voksende utvalg av applikasjoner over hele verden, lagrer små mengder informasjon som en nærliggende enhet kan lese. Blant annet kan sjetongene brukes til å lagre kundedata på et kredittkort eller tillate autoriserte personer å åpne låste kontordører eller bildører i "nøkkel" inngangssystemer.

California-regningen gjør unntak for visse nødsituasjoner, slik som som tillater en helsepersonell å skanne andras RFID-aktiverte helsekort for å hjelpe personen. Også politibetjente vil få lov til å se informasjon på et RFID-kort med en warrant.

Regningen ble først introdusert av California State Senator Joe Simitian i 2006, og den endelige versjonen ble undertegnet i lov på onsdag. Det ble støttet av et bredt spekter av grupper som spenner fra den amerikanske sivile frihetsunionen til pistoleiere i California.

Tidligere i år ble Washington den første staten som bestod en lov mot tyveri av RFID-data. Washington gjør det til en klasse C-forbrytelse for å stjele data fra et RFID-kort, spesielt for formålet med svindel, identitetstyveri eller andre ulovlige formål. Det betyr at hvis dømt, kan en kriminell få en straff på så mye som en $ 10.000 bøter og fem års fengsel.

Mens det er sikkerhetsmekanismer som utstedere av RFID-kort kan benytte for å gjøre det vanskeligere for noen å stjele data lagret på dem, mange gjør det ikke eller gjør det dårlig, slik at disse lover kan bidra til å avskrekke mot ville hackere.

Et papir som nylig ble publisert av Stanford Law Review, beskriver noen alarmerende eksempler på sikkerhetsforskere som hakkede inn i RFID systemer. I ett tilfelle sprakk forskerne ved Johns Hopkins University krypteringskoden på Texas Instruments-sjetonger som brukes i Exxon Mobil-gasskort. Bevæpnet med den koden, en bærbar PC og en enkel RFID-enhet, kunne de fylle opp tankene sine med gass gratis.

I Stanford-papiret fremgår også arbeid gjort av datasikkerhetsforskere ved IO Active, som viser hvor enkelt de kunne klone informasjon lagret på bygningskort. I et annet eksempel beskrevet i papiret brukte forskere fra Universitetet i Massachusetts 150 dollar til å bygge en RFID-leser og fant at de kunne lese informasjon som navn og andre data lagret på RFID-aktiverte kredittkort. De fant at dataene ble lagret på de kommersielt brukte kortene ukryptert og i ren tekst.

California's guvernør denne uken vetoet en annen relatert regning som også ble introdusert av Simitian. Denne regningen ville ha krevd at skolene skulle få skriftlig samtykke fra foreldre før de utstedte RFID-kort til studenter som kunne brukes til opptak eller oppfølging av studenters oppholdssted. Regningen, utarbeidet etter at kontroversen brøt ut på en California-skole som utstedte RFID-kort til studenter, ville også ha krevd skoler til å ta visse skritt for å beskytte elevers privatliv.