O cartão de transporte foi invadido por um estudante do ensino médio genial? Especialista em segurança cibernética: a vulnerabilidade MIFARE Classic foi divulgada há 15 anos!
Um estudante do ensino médio de 17 anos usou um leitor NFC para adulterar o saldo do EasyCard, devolvendo-o mais de 40 vezes em meio ano, obtendo um lucro ilegal de quase 700.000 yuans. O incidente trouxe à tona a vulnerabilidade MIFARE Classic, que estava adormecida há anos, forçando as autoridades e a comunidade de segurança a reexaminar as vulnerabilidades de segurança enfrentadas pela infraestrutura de pagamento inteligente. (Sinopse: Adam Back computador antiquântico "racha Bitcoin": recomenda-se integrar Taproot com SLH-DSA) (Suplemento de fundo: Shentu Qingchun: Eu quebrei uma carteira Trezor de 1350 BTC) Taiwan descobriu recentemente que um estudante do ensino médio suspenso de 17 anos usou um leitor NFC para adulterar o saldo do cartão Youyou, retornando mais de 40 vezes em meio ano, obtendo um lucro ilegal de quase 700.000 yuans. Este incidente trouxe à tona a vulnerabilidade MIFARE Classic, que estava adormecida há muitos anos, e forçou as autoridades e a comunidade de segurança a reexaminar os "velhos problemas" da infraestrutura de pagamentos. O especialista em segurança da informação Hu Li Huli viu este incidente e postou que Zheng Zhenmou, professor do Departamento de Engenharia Elétrica da NTU, havia demonstrado o CRYPTO1 usado para quebrar o MIFARE Classic já em 2010 HITCON e a palestra do CCC "Just Don't Say You Heard It From Me: MIFARE Classic is Completely Broken" O algoritmo, que também é a especificação usada pelo atual cartão Youyou, foi completamente quebrado há 15 anos. CRYPTO1 Vulnerabilidades de criptografia, ataques de canal lateral (SPA, DPA) e a ferramenta de código aberto Proxmark3 formam uma "trilogia" que reduz consideravelmente o limite para processos de cópia, adulteração e clonagem do Youyou Card. O especialista Hu Li Huli apontou: "O registro de valor agregado é armazenado no lado do servidor, e a quantidade acabará sendo encontrada; O risco real é que o chip seja muito fácil de trocar, e o custo da deteção e aplicação da lei seja forçado a ser terceirizado para a polícia." Olhando para o caso de 2011 em que um consultor de segurança da informação de sobrenome Wu quebrou o cartão Youyou e foi preso no consumo de supermercado, o consultor de segurança da informação sacou diretamente através do consumo, e desta vez o estudante do ensino médio mudou para o mecanismo de reembolso: "Como a empresa MRT não solicita diretamente o pagamento com o cartão Youyou após o reembolso, haverá um intervalo de tempo no meio, e isso não será descoberto imediatamente." De acordo com a imprensa, parece que levou vários meses para notar a anomalia durante a reconciliação ? E desta vez o montante está cheio, na verdade são centenas de milhares." Mas, em essência, trata-se de modificar as informações do lado do cartão. Hu Li Huli acrescentou: "A nova versão do cartão Youyou substituiu a tecnologia subjacente, mas enquanto o cartão antigo ainda estiver em circulação no mercado, não será possível erradicar completamente incidentes semelhantes. Se você quiser resolvê-lo, você só deve ter que pegar de volta todos os cartões que usavam o sistema antigo e eliminá-los, certo?" A investigação policial descobriu que o estudante do ensino médio comprou um leitor NFC de fabricação chinesa na Internet, dominou a modificação do campo de valor do cartão no chip por meio de autoeducação, e repetidamente escreveu o valor do cartão para 1.000 yuans, e depois foi para a estação MRT para desdeslizar, e todo o processo de ciclo único levou menos de 3 minutos. No final de 2024, a empresa descobriu a situação anormal através de conciliação de backoffice e prendeu o estudante em fevereiro deste ano. A empresa disse que reforçou a lógica de monitoramento, mas como o caso entrou no processo judicial, não é conveniente divulgar mais detalhes no momento. Leitura adicional externa: "Paper: Mifare Classic's Card-Only Attack" "NFC Information Security Practice – Xingda Information Society Course" Related Reports DeFi protocol ResupplyFi foi hackeado e perdeu US$ 9,6 milhões, e a stablecoin nativa reUSD uma vez desancorada para US$ 0,969 Cold wallet Trezor avisa: Hackers falsificam cartas oficiais para ataques de phishing, não compartilham chaves privadas da carteira 〈Youyou card cracked by talented high school students? Especialista em segurança: vulnerabilidade MIFARE Classic tornada pública há 15 anos! Este artigo foi publicado pela primeira vez no "Dynamic Trend - The Most Influential Blockchain News Media" da BlockTempo.
Ver original
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
O cartão de transporte foi invadido por um estudante do ensino médio genial? Especialista em segurança cibernética: a vulnerabilidade MIFARE Classic foi divulgada há 15 anos!
Um estudante do ensino médio de 17 anos usou um leitor NFC para adulterar o saldo do EasyCard, devolvendo-o mais de 40 vezes em meio ano, obtendo um lucro ilegal de quase 700.000 yuans. O incidente trouxe à tona a vulnerabilidade MIFARE Classic, que estava adormecida há anos, forçando as autoridades e a comunidade de segurança a reexaminar as vulnerabilidades de segurança enfrentadas pela infraestrutura de pagamento inteligente. (Sinopse: Adam Back computador antiquântico "racha Bitcoin": recomenda-se integrar Taproot com SLH-DSA) (Suplemento de fundo: Shentu Qingchun: Eu quebrei uma carteira Trezor de 1350 BTC) Taiwan descobriu recentemente que um estudante do ensino médio suspenso de 17 anos usou um leitor NFC para adulterar o saldo do cartão Youyou, retornando mais de 40 vezes em meio ano, obtendo um lucro ilegal de quase 700.000 yuans. Este incidente trouxe à tona a vulnerabilidade MIFARE Classic, que estava adormecida há muitos anos, e forçou as autoridades e a comunidade de segurança a reexaminar os "velhos problemas" da infraestrutura de pagamentos. O especialista em segurança da informação Hu Li Huli viu este incidente e postou que Zheng Zhenmou, professor do Departamento de Engenharia Elétrica da NTU, havia demonstrado o CRYPTO1 usado para quebrar o MIFARE Classic já em 2010 HITCON e a palestra do CCC "Just Don't Say You Heard It From Me: MIFARE Classic is Completely Broken" O algoritmo, que também é a especificação usada pelo atual cartão Youyou, foi completamente quebrado há 15 anos. CRYPTO1 Vulnerabilidades de criptografia, ataques de canal lateral (SPA, DPA) e a ferramenta de código aberto Proxmark3 formam uma "trilogia" que reduz consideravelmente o limite para processos de cópia, adulteração e clonagem do Youyou Card. O especialista Hu Li Huli apontou: "O registro de valor agregado é armazenado no lado do servidor, e a quantidade acabará sendo encontrada; O risco real é que o chip seja muito fácil de trocar, e o custo da deteção e aplicação da lei seja forçado a ser terceirizado para a polícia." Olhando para o caso de 2011 em que um consultor de segurança da informação de sobrenome Wu quebrou o cartão Youyou e foi preso no consumo de supermercado, o consultor de segurança da informação sacou diretamente através do consumo, e desta vez o estudante do ensino médio mudou para o mecanismo de reembolso: "Como a empresa MRT não solicita diretamente o pagamento com o cartão Youyou após o reembolso, haverá um intervalo de tempo no meio, e isso não será descoberto imediatamente." De acordo com a imprensa, parece que levou vários meses para notar a anomalia durante a reconciliação ? E desta vez o montante está cheio, na verdade são centenas de milhares." Mas, em essência, trata-se de modificar as informações do lado do cartão. Hu Li Huli acrescentou: "A nova versão do cartão Youyou substituiu a tecnologia subjacente, mas enquanto o cartão antigo ainda estiver em circulação no mercado, não será possível erradicar completamente incidentes semelhantes. Se você quiser resolvê-lo, você só deve ter que pegar de volta todos os cartões que usavam o sistema antigo e eliminá-los, certo?" A investigação policial descobriu que o estudante do ensino médio comprou um leitor NFC de fabricação chinesa na Internet, dominou a modificação do campo de valor do cartão no chip por meio de autoeducação, e repetidamente escreveu o valor do cartão para 1.000 yuans, e depois foi para a estação MRT para desdeslizar, e todo o processo de ciclo único levou menos de 3 minutos. No final de 2024, a empresa descobriu a situação anormal através de conciliação de backoffice e prendeu o estudante em fevereiro deste ano. A empresa disse que reforçou a lógica de monitoramento, mas como o caso entrou no processo judicial, não é conveniente divulgar mais detalhes no momento. Leitura adicional externa: "Paper: Mifare Classic's Card-Only Attack" "NFC Information Security Practice – Xingda Information Society Course" Related Reports DeFi protocol ResupplyFi foi hackeado e perdeu US$ 9,6 milhões, e a stablecoin nativa reUSD uma vez desancorada para US$ 0,969 Cold wallet Trezor avisa: Hackers falsificam cartas oficiais para ataques de phishing, não compartilham chaves privadas da carteira 〈Youyou card cracked by talented high school students? Especialista em segurança: vulnerabilidade MIFARE Classic tornada pública há 15 anos! Este artigo foi publicado pela primeira vez no "Dynamic Trend - The Most Influential Blockchain News Media" da BlockTempo.