2016-05-30T03:49:06+03:00

В Москве хакер взломал «Тройку» и две недели бесплатно катался в общественном транспорте

Потом программист написал приложение, чтобы все пассажиры могли обманывать турникеты на входе
Поделиться:
Комментарии: comments11
Потратив всего десять рублей, программист сумел найти место на карте, где хранятся данные о балансеПотратив всего десять рублей, программист сумел найти место на карте, где хранятся данные о балансе
Изменить размер текста:

Опытный хакер нашел уязвимость в программе «Мой проездной» (разработана «Банком Москвы»). Приложение позволяет со смартфона пополнять баланс «Тройки». Найденная ошибка в сервисе дает возможность менять свой баланс на транспортной карте - деньги на проезд не кончатся никогда!

Отчет о взломе электронного кошелька выложили 16 мая на одном из популярных сайтов для программистов.

- Были найдены уязвимости, позволяющие выполнить подделку баланса, записанного на электронном кошельке карты Тройка, - написал программист, который и взломал карту, Игорь Шевцов. - В результате чего стало возможным использование систем, поддерживающих карту, без оплаты.

По словам автора, его эксперимент продолжался 14 дней - за это время он минимум 10 раз проехался на общественном транспорте. Хакер выяснил, что баланс карты легко подделывается. Системы проверки подлинности электронных подписей не соответствуют современным требованиям и легко взламываются одним-единственным вмешательством.

- Несмотря на применяемые системы защиты, такие как ключи доступа к карте и криптографическая подпись в секторе электронного кошелька, подделка баланса оказалась возможна, - написал Игорь. Что бы все это ни значило, это работает.

Потратив всего десять рублей, программист сумел найти место на карте, где хранятся данные о балансе: всего-то и надо было, что десять раз пополнить «Тройку» на рубль, внимательно изучая изменения кодов.

Под конец Игорь Шевцов написал свое приложение «TroykaDumper». Оно позволяет пополнять баланс «Тройки» и не тратить на это реальные деньги!

Программа уставится на мобильный телефон с «Андроидом». Главное, чтобы аппарат поддерживал функцию NFC — эта технология позволяет устройствам на коротком расстоянии обмениваться данными.

КОММЕНТАРИЙ МЕТРО:

- Безопасность информационных систем, обеспечивающих работу билетной системы столицы, проверяется на постоянной основе, - заявила «КП» представитель подземки Анастасия Федорова. - Для нас принципиально важна безопасность работы карты «Тройка» и мы на постоянной основе реализуем инициативы по ее улучшению. Мы контактируем с автором исследования по данному вопросу, открыты для дальнейшего взаимодействия и совместной работе по совершенствованию карты «Тройка» и билетной системы в целом.

Мы в свою очередь, постоянно проверяя уязвимость и обнаружив эту проблему ранее, оперативно ее устранили совместно с коллегами из ВТБ. Приложение «Мой проездной» - совместный пилотный проект с банком ВТБ, предназначенный для самостоятельного пополнения транспортной карты. По факту успешного завершения пилота данный функционал будет добавлен в перечень официальных точек пополнения.

Московский метрополитен рекомендует пользователям карты пополнять ее только в официальных точках пополнения, указанных на сайте transport.mos.ru.

Подпишитесь на новости:
 
Читайте также