Chris Paget, Forschungs- und Entwicklungschef bei der Sicherheitsberatungsfirma IOActive, hat aus öffentlich zugänglichen Informationen über RFID-Chipkarten und -Lesern ein Hacking-Werkzeug konstruiert, mit dessen Hilfe es einfach ist, eine Karte des Herstellers HID zu duplizieren, um Zugang zu gesicherten Gebäuden zu erlangen.
Einen ähnlich angelegten Hack von implantierbaren Chips des Herstellers Verichip wurde bereits ausführlich dokumentiert.
Paget wollte dies auf der Black Hat DC-Konferenz demonstrieren, um die Schwächen von bislang erhältlichen Sicherungsprodukten auf RFID-Basis aufzuzeigen. Doch HID schickte IOActive einen Brief mit dem Hinweis, dass das Vorgehen gegen Patente verstößt, deren Inhaber HID sei. Weiterhin wurde Paget aufgefordert, den Hack weder vorzuführen noch darüber zu reden.
HID selbst behauptet das Gegenteil: Man habe Paget lediglich aufgefordert, keinen Quellcode oder schematische Darstellungen zu zeigen. Desweiteren wolle man nicht als einzige Firma an den Pranger gestellt werden. Insbesondere sei der Vorgang des Auslesens der Karte, wie er gezeigt werden sollte, kein realistisches Beispiel, da sie direkt in das nachgebaute Lesegerät eingeführt werden müsse.
Nach längeren Diskussionen zwischen beiden Firmen hielt Paget eine verkürzte Version seines Vortrags und verzichtete auf die Nennung von HID.
Der Vorstandsvorsitzende von IOActive Joshua Pennell sagte gegenüber Wired, dass die Firma kein spezielles Interesse an Produkten von HID hätte. Diese würden nur für das Gebäude verwendet, in dem sie ihren Sitz hat. Sie wollten nur die Sicherheit ihres „Zuhauses“ testen, und stellten gravierende Mängel fest.
Diese Mängel wollten sie aufzeigen, da Personen, die für den Schutz von wichtiger Infrastruktur zuständig seien, keine Ahnung hätten. Paget dazu: „Wir versuchen nur Leuten die Möglichkeit zu geben, sich zu informieren, wenn sie die Risiken abschätzen möchten, wenn sie RFID-Technik einsetzen.“