¿La tarjeta de transporte EasyCard fue hackeada por un genio estudiante de secundaria? Expertos en ciberseguridad: ¡la vulnerabilidad de MIFARE Classic se publicó hace 15 años!
Un estudiante de secundaria de 17 años usó un lector NFC para manipular el saldo de la EasyCard, devolviéndola más de 40 veces en medio año, obteniendo una ganancia ilegal de casi 700,000 yuanes. El incidente sacó a la luz la vulnerabilidad MIFARE Classic, que había estado inactiva durante años, lo que obligó a las autoridades y a la comunidad de seguridad a reexaminar las vulnerabilidades de seguridad a las que se enfrenta la infraestructura de pago inteligente. (Sinopsis: Adam Back La computadora anticuántica "descifra Bitcoin": se recomienda integrar Taproot con SLH-DSA) (Suplemento de antecedentes: Shentu Qingchun: rompí una billetera Trezor de 1350 BTC) Taiwán reveló recientemente que un estudiante de secundaria suspendido de 17 años usó un lector NFC para manipular el saldo de la tarjeta Youyou, regresando más de 40 veces en medio año, obteniendo una ganancia ilegal de casi 700,000 yuanes. Este incidente sacó a la luz la vulnerabilidad MIFARE Classic, que había estado inactiva durante muchos años, y obligó a las autoridades y a la comunidad de seguridad a reexaminar los "viejos problemas" de la infraestructura de pago. El experto en seguridad de la información Hu Li Huli vio este incidente y publicó que Zheng Zhenmou, profesor del Departamento de Ingeniería Eléctrica de la NTU, había demostrado el CRYPTO1 utilizado para descifrar MIFARE Classic ya en la conferencia de HITCON y CCC de 2010 "Simplemente no digas que lo escuchaste de mí: MIFARE Classic está completamente roto" El algoritmo, que también es la especificación utilizada por la tarjeta Youyou actual, ha sido completamente crackeado hace 15 años. CRYPTO1 Las vulnerabilidades de cifrado, los ataques de canal lateral (SPA, DPA) y la herramienta de código abierto Proxmark3 forman una "trilogía" que reduce en gran medida el umbral para los procesos de copia, manipulación y clonación de la tarjeta Youyou. El experto Hu Li Huli señaló: "El registro de valor agregado se almacena en el lado del servidor y la cantidad eventualmente se encontrará; El riesgo real es que el chip sea demasiado fácil de cambiar, y el costo de la detección y la aplicación de la ley se vea obligado a subcontratar a la policía". Mirando hacia atrás en el caso de 2011 en el que un consultor de seguridad de la información de apellido Wu descifró la tarjeta Youyou y fue arrestado en el consumo de supermercado, el consultor de seguridad de la información cobró directamente a través del consumo, y esta vez el estudiante de secundaria cambió al mecanismo de reembolso: "Dado que la empresa MRT no solicita directamente el pago con la tarjeta Youyou después del reembolso, habrá un retraso en el medio y no se descubrirá de inmediato". Según los informes de prensa, parece que se necesitaron varios meses para notar la anomalía durante la reconciliación. Y esta vez la cantidad está llena, en realidad hay cientos de miles". Pero en esencia, se trata de modificar la información en el lado de la tarjeta. Hu Li Huli agregó: "La nueva versión de la tarjeta Youyou ha reemplazado la tecnología subyacente, pero mientras la antigua tarjeta aún esté en circulación en el mercado, no será posible erradicar por completo incidentes similares. Si quieres resolverlo, solo deberías tener que recuperar todas las cartas que usaban el sistema anterior y eliminarlas, ¿verdad?" La investigación policial descubrió que el estudiante de secundaria compró un lector NFC de fabricación china en Internet, dominó la modificación del campo de cantidad de la tarjeta en el chip a través de la autoeducación y escribió repetidamente el monto de la tarjeta a 1,000 yuanes, y luego fue a la estación MRT para desdeslizar, y todo el proceso de ciclo único tomó menos de 3 minutos. A finales de 2024, la empresa descubrió la situación anormal a través de la conciliación administrativa y detuvo al estudiante en febrero de este año. La empresa dijo que ha fortalecido la lógica de monitoreo, pero debido a que el caso ha ingresado al proceso judicial, no es conveniente revelar más detalles en este momento. Lectura adicional externa: "Papel: el ataque solo con tarjeta de Mifare Classic" "Práctica de seguridad de la información NFC - Curso de la sociedad de la información de Xingda" Informes relacionados El protocolo DeFi ResupplyFi fue pirateado y perdió USD 9.6 millones, y la stablecoin nativa reUSD una vez se desancló a USD 0.969 Billetera fría Trezor advierte: Los piratas informáticos falsifican cartas oficiales para ataques de phishing, no comparten las claves privadas de la billetera 〈¿Tarjeta Youyou descifrada por estudiantes de secundaria talentosos? Experto en seguridad: ¡La vulnerabilidad MIFARE Classic se hizo pública hace 15 años! Este artículo se publicó por primera vez en "Dynamic Trend - The Most Influential Blockchain News Media" de BlockTempo.
Ver originales
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
¿La tarjeta de transporte EasyCard fue hackeada por un genio estudiante de secundaria? Expertos en ciberseguridad: ¡la vulnerabilidad de MIFARE Classic se publicó hace 15 años!
Un estudiante de secundaria de 17 años usó un lector NFC para manipular el saldo de la EasyCard, devolviéndola más de 40 veces en medio año, obteniendo una ganancia ilegal de casi 700,000 yuanes. El incidente sacó a la luz la vulnerabilidad MIFARE Classic, que había estado inactiva durante años, lo que obligó a las autoridades y a la comunidad de seguridad a reexaminar las vulnerabilidades de seguridad a las que se enfrenta la infraestructura de pago inteligente. (Sinopsis: Adam Back La computadora anticuántica "descifra Bitcoin": se recomienda integrar Taproot con SLH-DSA) (Suplemento de antecedentes: Shentu Qingchun: rompí una billetera Trezor de 1350 BTC) Taiwán reveló recientemente que un estudiante de secundaria suspendido de 17 años usó un lector NFC para manipular el saldo de la tarjeta Youyou, regresando más de 40 veces en medio año, obteniendo una ganancia ilegal de casi 700,000 yuanes. Este incidente sacó a la luz la vulnerabilidad MIFARE Classic, que había estado inactiva durante muchos años, y obligó a las autoridades y a la comunidad de seguridad a reexaminar los "viejos problemas" de la infraestructura de pago. El experto en seguridad de la información Hu Li Huli vio este incidente y publicó que Zheng Zhenmou, profesor del Departamento de Ingeniería Eléctrica de la NTU, había demostrado el CRYPTO1 utilizado para descifrar MIFARE Classic ya en la conferencia de HITCON y CCC de 2010 "Simplemente no digas que lo escuchaste de mí: MIFARE Classic está completamente roto" El algoritmo, que también es la especificación utilizada por la tarjeta Youyou actual, ha sido completamente crackeado hace 15 años. CRYPTO1 Las vulnerabilidades de cifrado, los ataques de canal lateral (SPA, DPA) y la herramienta de código abierto Proxmark3 forman una "trilogía" que reduce en gran medida el umbral para los procesos de copia, manipulación y clonación de la tarjeta Youyou. El experto Hu Li Huli señaló: "El registro de valor agregado se almacena en el lado del servidor y la cantidad eventualmente se encontrará; El riesgo real es que el chip sea demasiado fácil de cambiar, y el costo de la detección y la aplicación de la ley se vea obligado a subcontratar a la policía". Mirando hacia atrás en el caso de 2011 en el que un consultor de seguridad de la información de apellido Wu descifró la tarjeta Youyou y fue arrestado en el consumo de supermercado, el consultor de seguridad de la información cobró directamente a través del consumo, y esta vez el estudiante de secundaria cambió al mecanismo de reembolso: "Dado que la empresa MRT no solicita directamente el pago con la tarjeta Youyou después del reembolso, habrá un retraso en el medio y no se descubrirá de inmediato". Según los informes de prensa, parece que se necesitaron varios meses para notar la anomalía durante la reconciliación. Y esta vez la cantidad está llena, en realidad hay cientos de miles". Pero en esencia, se trata de modificar la información en el lado de la tarjeta. Hu Li Huli agregó: "La nueva versión de la tarjeta Youyou ha reemplazado la tecnología subyacente, pero mientras la antigua tarjeta aún esté en circulación en el mercado, no será posible erradicar por completo incidentes similares. Si quieres resolverlo, solo deberías tener que recuperar todas las cartas que usaban el sistema anterior y eliminarlas, ¿verdad?" La investigación policial descubrió que el estudiante de secundaria compró un lector NFC de fabricación china en Internet, dominó la modificación del campo de cantidad de la tarjeta en el chip a través de la autoeducación y escribió repetidamente el monto de la tarjeta a 1,000 yuanes, y luego fue a la estación MRT para desdeslizar, y todo el proceso de ciclo único tomó menos de 3 minutos. A finales de 2024, la empresa descubrió la situación anormal a través de la conciliación administrativa y detuvo al estudiante en febrero de este año. La empresa dijo que ha fortalecido la lógica de monitoreo, pero debido a que el caso ha ingresado al proceso judicial, no es conveniente revelar más detalles en este momento. Lectura adicional externa: "Papel: el ataque solo con tarjeta de Mifare Classic" "Práctica de seguridad de la información NFC - Curso de la sociedad de la información de Xingda" Informes relacionados El protocolo DeFi ResupplyFi fue pirateado y perdió USD 9.6 millones, y la stablecoin nativa reUSD una vez se desancló a USD 0.969 Billetera fría Trezor advierte: Los piratas informáticos falsifican cartas oficiales para ataques de phishing, no comparten las claves privadas de la billetera 〈¿Tarjeta Youyou descifrada por estudiantes de secundaria talentosos? Experto en seguridad: ¡La vulnerabilidad MIFARE Classic se hizo pública hace 15 años! Este artículo se publicó por primera vez en "Dynamic Trend - The Most Influential Blockchain News Media" de BlockTempo.