La carte EasyCard a été piratée par un génie du lycée ? Expert en cybersécurité : La vulnérabilité MIFARE Classic a été rendue publique il y a 15 ans !
Un lycéen de 17 ans a utilisé un lecteur NFC pour falsifier le solde de l’EasyCard, la renvoyant plus de 40 fois en six mois, réalisant un bénéfice illégal de près de 700 000 yuans. L’incident a mis en évidence la vulnérabilité MIFARE Classic, qui était en sommeil depuis des années, obligeant les autorités et la communauté de la sécurité à réexaminer les vulnérabilités de sécurité auxquelles sont confrontées les infrastructures de paiement intelligentes. (Synopsis : L’ordinateur anti-quantique d’Adam Back « craque Bitcoin » : il est recommandé d’intégrer Taproot avec SLH-DSA) (Supplément de fond : Shentu Qingchun : j’ai craqué un portefeuille Trezor de 1350 BTC) Taïwan a récemment annoncé qu’un lycéen suspendu de 17 ans avait utilisé un lecteur NFC pour trafiquer le solde de la carte Youyou, revenant plus de 40 fois en six mois, réalisant un profit illégal de près de 700 000 yuans. Cet incident a mis en évidence la vulnérabilité MIFARE Classic, qui était en sommeil depuis de nombreuses années, et a forcé les autorités et la communauté de la sécurité à réexaminer les « vieux problèmes » de l’infrastructure de paiement. L’expert en sécurité de l’information Hu Li Huli a vu cet incident et a posté que Zheng Zhenmou, professeur au département de génie électrique de la NTU, avait démontré le CRYPTO1 utilisé pour craquer MIFARE Classic dès 2010 HITCON et la conférence de CCC « Just Don’t Say You Heard It From Me : MIFARE Classic is Completely Broken » L’algorithme, qui est également la spécification utilisée par la carte Youyou actuelle, a été complètement craqué il y a 15 ans. CRYPTO1 Les vulnérabilités de chiffrement, les attaques par canal auxiliaire (SPA, DPA) et l’outil open-source Proxmark3 forment une « trilogie » qui abaisse considérablement le seuil des processus de copie, d’altération et de clonage de Youyou Card. L’expert Hu Li Huli a souligné : « L’enregistrement à valeur ajoutée est stocké du côté du serveur, et le montant sera finalement trouvé ; Le vrai risque est que la puce soit trop facile à changer, et que le coût de la détection et de l’application de la loi soit obligé d’être sous-traité à la police. Si l’on se réfère à l’affaire de 2011 dans laquelle un consultant en sécurité de l’information du nom de Wu a craqué la carte Youyou et a été arrêté dans un supermarché, le consultant en sécurité de l’information a encaissé directement par la consommation, et cette fois-ci, le lycéen est passé au mécanisme de remboursement : « Étant donné que la société MRT ne demande pas directement le paiement avec la carte Youyou après le remboursement, il y aura un décalage temporel entre les deux, et il ne sera pas découvert immédiatement. » Selon les médias, il semblerait qu’il ait fallu plusieurs mois pour remarquer l’anomalie lors de la réconciliation ? Et cette fois-ci, la quantité est pleine, il y en a en fait des centaines de milliers. Mais en substance, il s’agit de modifier les informations du côté de la carte. Hu Li Huli a ajouté : « La nouvelle version de la carte Youyou a remplacé la technologie sous-jacente, mais tant que l’ancienne carte sera toujours en circulation sur le marché, il ne sera pas possible d’éradiquer complètement des incidents similaires. Si tu veux le résoudre, tu n’aurais qu’à reprendre toutes les cartes qui utilisaient l’ancien système et les éliminer, n’est-ce pas ? L’enquête de police a révélé que le lycéen avait acheté un lecteur NFC de fabrication chinoise sur Internet, qu’il avait maîtrisé la modification du champ du montant de la carte dans la puce grâce à son auto-éducation, qu’il avait écrit à plusieurs reprises le montant de la carte à 1 000 yuans, puis qu’il s’était rendu à la station de MRT pour le dégager, et que l’ensemble du processus d’un seul cycle avait pris moins de 3 minutes. À la fin de l’année 2024, l’entreprise a découvert la situation anormale grâce au rapprochement du back-office et a arrêté l’étudiant en février de cette année. La société a déclaré qu’elle avait renforcé la logique de surveillance, mais parce que l’affaire est entrée dans le processus judiciaire, il n’est pas pratique de divulguer plus de détails pour le moment. Lecture complémentaire externe : « Article : L’attaque par carte uniquement de Mifare Classic » « Pratique de la sécurité de l’information NFC - Cours sur la société de l’information Xingda » Rapports connexes Le protocole DeFi ResupplyFi a été piraté et a perdu 9,6 millions de dollars, et le stablecoin natif reUSD s’est une fois désancré à 0,969 $ Portefeuille froid Trezor met en garde : Les pirates falsifient des lettres officielles pour des attaques de phishing, ne partagent pas les clés privées du portefeuille 〈Votre carte piratée par des lycéens talentueux ? Expert en sécurité : la vulnérabilité MIFARE Classic rendue publique il y a 15 ans ! Cet article a été publié pour la première fois dans « Dynamic Trend - The Most Influential Blockchain News Media » de BlockTempo.
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
La carte EasyCard a été piratée par un génie du lycée ? Expert en cybersécurité : La vulnérabilité MIFARE Classic a été rendue publique il y a 15 ans !
Un lycéen de 17 ans a utilisé un lecteur NFC pour falsifier le solde de l’EasyCard, la renvoyant plus de 40 fois en six mois, réalisant un bénéfice illégal de près de 700 000 yuans. L’incident a mis en évidence la vulnérabilité MIFARE Classic, qui était en sommeil depuis des années, obligeant les autorités et la communauté de la sécurité à réexaminer les vulnérabilités de sécurité auxquelles sont confrontées les infrastructures de paiement intelligentes. (Synopsis : L’ordinateur anti-quantique d’Adam Back « craque Bitcoin » : il est recommandé d’intégrer Taproot avec SLH-DSA) (Supplément de fond : Shentu Qingchun : j’ai craqué un portefeuille Trezor de 1350 BTC) Taïwan a récemment annoncé qu’un lycéen suspendu de 17 ans avait utilisé un lecteur NFC pour trafiquer le solde de la carte Youyou, revenant plus de 40 fois en six mois, réalisant un profit illégal de près de 700 000 yuans. Cet incident a mis en évidence la vulnérabilité MIFARE Classic, qui était en sommeil depuis de nombreuses années, et a forcé les autorités et la communauté de la sécurité à réexaminer les « vieux problèmes » de l’infrastructure de paiement. L’expert en sécurité de l’information Hu Li Huli a vu cet incident et a posté que Zheng Zhenmou, professeur au département de génie électrique de la NTU, avait démontré le CRYPTO1 utilisé pour craquer MIFARE Classic dès 2010 HITCON et la conférence de CCC « Just Don’t Say You Heard It From Me : MIFARE Classic is Completely Broken » L’algorithme, qui est également la spécification utilisée par la carte Youyou actuelle, a été complètement craqué il y a 15 ans. CRYPTO1 Les vulnérabilités de chiffrement, les attaques par canal auxiliaire (SPA, DPA) et l’outil open-source Proxmark3 forment une « trilogie » qui abaisse considérablement le seuil des processus de copie, d’altération et de clonage de Youyou Card. L’expert Hu Li Huli a souligné : « L’enregistrement à valeur ajoutée est stocké du côté du serveur, et le montant sera finalement trouvé ; Le vrai risque est que la puce soit trop facile à changer, et que le coût de la détection et de l’application de la loi soit obligé d’être sous-traité à la police. Si l’on se réfère à l’affaire de 2011 dans laquelle un consultant en sécurité de l’information du nom de Wu a craqué la carte Youyou et a été arrêté dans un supermarché, le consultant en sécurité de l’information a encaissé directement par la consommation, et cette fois-ci, le lycéen est passé au mécanisme de remboursement : « Étant donné que la société MRT ne demande pas directement le paiement avec la carte Youyou après le remboursement, il y aura un décalage temporel entre les deux, et il ne sera pas découvert immédiatement. » Selon les médias, il semblerait qu’il ait fallu plusieurs mois pour remarquer l’anomalie lors de la réconciliation ? Et cette fois-ci, la quantité est pleine, il y en a en fait des centaines de milliers. Mais en substance, il s’agit de modifier les informations du côté de la carte. Hu Li Huli a ajouté : « La nouvelle version de la carte Youyou a remplacé la technologie sous-jacente, mais tant que l’ancienne carte sera toujours en circulation sur le marché, il ne sera pas possible d’éradiquer complètement des incidents similaires. Si tu veux le résoudre, tu n’aurais qu’à reprendre toutes les cartes qui utilisaient l’ancien système et les éliminer, n’est-ce pas ? L’enquête de police a révélé que le lycéen avait acheté un lecteur NFC de fabrication chinoise sur Internet, qu’il avait maîtrisé la modification du champ du montant de la carte dans la puce grâce à son auto-éducation, qu’il avait écrit à plusieurs reprises le montant de la carte à 1 000 yuans, puis qu’il s’était rendu à la station de MRT pour le dégager, et que l’ensemble du processus d’un seul cycle avait pris moins de 3 minutes. À la fin de l’année 2024, l’entreprise a découvert la situation anormale grâce au rapprochement du back-office et a arrêté l’étudiant en février de cette année. La société a déclaré qu’elle avait renforcé la logique de surveillance, mais parce que l’affaire est entrée dans le processus judiciaire, il n’est pas pratique de divulguer plus de détails pour le moment. Lecture complémentaire externe : « Article : L’attaque par carte uniquement de Mifare Classic » « Pratique de la sécurité de l’information NFC - Cours sur la société de l’information Xingda » Rapports connexes Le protocole DeFi ResupplyFi a été piraté et a perdu 9,6 millions de dollars, et le stablecoin natif reUSD s’est une fois désancré à 0,969 $ Portefeuille froid Trezor met en garde : Les pirates falsifient des lettres officielles pour des attaques de phishing, ne partagent pas les clés privées du portefeuille 〈Votre carte piratée par des lycéens talentueux ? Expert en sécurité : la vulnérabilité MIFARE Classic rendue publique il y a 15 ans ! Cet article a été publié pour la première fois dans « Dynamic Trend - The Most Influential Blockchain News Media » de BlockTempo.