17-летний старшеклассник использовал считыватель NFC, чтобы подделать баланс карты EasyCard, вернув ее более 40 раз за полгода, получив незаконную прибыль в размере почти 700 000 юаней. Этот инцидент вывел на передний план уязвимость MIFARE Classic, которая бездействовала в течение многих лет, заставив власти и сообщество безопасности пересмотреть уязвимости безопасности, с которыми сталкивается инфраструктура умных платежей. (Синопсис: Антиквантовый компьютер Адама Бэка «взламывает биткоин»: рекомендуется интегрировать Taproot с SLH-DSA) (Справочное дополнение: Шенту Цинчунь: Я взломал кошелек Trezor на 1350 BTC) Тайвань недавно сообщил, что 17-летний отстраненный старшеклассник использовал NFC-считыватель для подделки баланса карты Youyou, вернув ее более 40 раз за полгода, получив незаконную прибыль в размере почти 700 000 юаней. Этот инцидент вывел на первый план уязвимость MIFARE Classic, которая дремала в течение многих лет, и заставил власти и сообщество безопасности пересмотреть «старые проблемы» платежной инфраструктуры. MIFARE Classic уже давно взломан Эксперт по информационной безопасности Ху Ли увидел этот инцидент и написал, что Чжэн Чжэньмоу, профессор кафедры электротехники в НТУ, продемонстрировал CRYPTO1, используемый для взлома MIFARE Classic еще в 2010 году на HITCON и лекции CCC «Просто не говори, что вы слышали это от меня: MIFARE Classic полностью сломана» Алгоритм, который также является спецификацией, используемой в текущей карте Youyou, был полностью взломан 15 лет назад. CRYPTO1 Уязвимости шифрования, атаки по сторонним каналам (SPA, DPA) и инструмент с открытым исходным кодом Proxmark3 образуют «трилогию», которая значительно снижает порог копирования, подделки и клонирования процессов Youyou Card. Эксперт Ху Ли отметил: «Запись о добавленной стоимости хранится на стороне сервера, и сумма в конечном итоге будет найдена; Реальный риск заключается в том, что чип слишком легко заменить, и расходы на обнаружение и обеспечение правопорядка вынуждены перекладываться на полицию». Оглядываясь на случай 2011 года, в котором консультант по информационной безопасности по фамилии Ву взломал карту Youyou и был арестован за потребление в супермаркете, консультант по информационной безопасности обналичил деньги напрямую через потребление, и на этот раз старшеклассник переключился на механизм возврата: «Поскольку компания MRT не подает заявку на оплату картой Youyou напрямую после возврата средств, будет временная задержка посередине, и она не будет обнаружена сразу». По сообщениям СМИ, кажется, что потребовалось несколько месяцев, чтобы заметить аномалию во время примирения? И на этот раз количество заполнено, на самом деле это сотни тысяч». Но по сути все сводится к изменению информации на стороне карты. Ху Ли добавил: «Новая версия карты Youyou заменила базовую технологию, но до тех пор, пока старая карта все еще находится в обращении на рынке, полностью искоренить подобные инциденты не удастся. Если вы хотите решить эту проблему, вам нужно только забрать все карты, которые использовали старую систему, и уничтожить их, верно?» Полицейское расследование установило, что старшеклассник приобрел в интернете считыватель NFC китайского производства, освоил модификацию поля суммы карты в чипе с помощью самообразования, а также неоднократно записывал сумму карты до 1000 юаней, а затем шел на станцию MRT для разминки, и весь процесс одного цикла занял менее 3 минут. В конце 2024 года компания обнаружила нештатную ситуацию с помощью сверки бэк-офиса и арестовала студента в феврале этого года. В компании заявили, что усилили логику мониторинга, но поскольку дело перешло в судебный процесс, раскрывать подробности в настоящее время неудобно. Внешнее дополнительное чтение: «Статья: Атака только на карты Mifare Classic» «Практика информационной безопасности NFC — курс по информационному обществу Xingda» Связанные отчеты Протокол DeFi ResupplyFi был взломан и потерял 9,6 миллиона долларов, а собственный стейблкоин reUSD однажды отвязался от 0,969 доллара Холодный кошелек Trezor предупреждает: хакеры подделывают официальные письма для фишинговых атак, не делятся закрытыми ключами кошелька 〈 Ваша карта взломана талантливыми старшеклассниками? Эксперт по безопасности: 15 лет назад стала известна уязвимость MIFARE Classic! Эта статья была впервые опубликована в журнале BlockTempo "Dynamic Trend - The Most Influence Blockchain News Media".
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Универсальная карта была взломана гениальным старшеклассником? Эксперт по безопасности: уязвимость MIFARE Classic была опубликована 15 лет назад!
17-летний старшеклассник использовал считыватель NFC, чтобы подделать баланс карты EasyCard, вернув ее более 40 раз за полгода, получив незаконную прибыль в размере почти 700 000 юаней. Этот инцидент вывел на передний план уязвимость MIFARE Classic, которая бездействовала в течение многих лет, заставив власти и сообщество безопасности пересмотреть уязвимости безопасности, с которыми сталкивается инфраструктура умных платежей. (Синопсис: Антиквантовый компьютер Адама Бэка «взламывает биткоин»: рекомендуется интегрировать Taproot с SLH-DSA) (Справочное дополнение: Шенту Цинчунь: Я взломал кошелек Trezor на 1350 BTC) Тайвань недавно сообщил, что 17-летний отстраненный старшеклассник использовал NFC-считыватель для подделки баланса карты Youyou, вернув ее более 40 раз за полгода, получив незаконную прибыль в размере почти 700 000 юаней. Этот инцидент вывел на первый план уязвимость MIFARE Classic, которая дремала в течение многих лет, и заставил власти и сообщество безопасности пересмотреть «старые проблемы» платежной инфраструктуры. MIFARE Classic уже давно взломан Эксперт по информационной безопасности Ху Ли увидел этот инцидент и написал, что Чжэн Чжэньмоу, профессор кафедры электротехники в НТУ, продемонстрировал CRYPTO1, используемый для взлома MIFARE Classic еще в 2010 году на HITCON и лекции CCC «Просто не говори, что вы слышали это от меня: MIFARE Classic полностью сломана» Алгоритм, который также является спецификацией, используемой в текущей карте Youyou, был полностью взломан 15 лет назад. CRYPTO1 Уязвимости шифрования, атаки по сторонним каналам (SPA, DPA) и инструмент с открытым исходным кодом Proxmark3 образуют «трилогию», которая значительно снижает порог копирования, подделки и клонирования процессов Youyou Card. Эксперт Ху Ли отметил: «Запись о добавленной стоимости хранится на стороне сервера, и сумма в конечном итоге будет найдена; Реальный риск заключается в том, что чип слишком легко заменить, и расходы на обнаружение и обеспечение правопорядка вынуждены перекладываться на полицию». Оглядываясь на случай 2011 года, в котором консультант по информационной безопасности по фамилии Ву взломал карту Youyou и был арестован за потребление в супермаркете, консультант по информационной безопасности обналичил деньги напрямую через потребление, и на этот раз старшеклассник переключился на механизм возврата: «Поскольку компания MRT не подает заявку на оплату картой Youyou напрямую после возврата средств, будет временная задержка посередине, и она не будет обнаружена сразу». По сообщениям СМИ, кажется, что потребовалось несколько месяцев, чтобы заметить аномалию во время примирения? И на этот раз количество заполнено, на самом деле это сотни тысяч». Но по сути все сводится к изменению информации на стороне карты. Ху Ли добавил: «Новая версия карты Youyou заменила базовую технологию, но до тех пор, пока старая карта все еще находится в обращении на рынке, полностью искоренить подобные инциденты не удастся. Если вы хотите решить эту проблему, вам нужно только забрать все карты, которые использовали старую систему, и уничтожить их, верно?» Полицейское расследование установило, что старшеклассник приобрел в интернете считыватель NFC китайского производства, освоил модификацию поля суммы карты в чипе с помощью самообразования, а также неоднократно записывал сумму карты до 1000 юаней, а затем шел на станцию MRT для разминки, и весь процесс одного цикла занял менее 3 минут. В конце 2024 года компания обнаружила нештатную ситуацию с помощью сверки бэк-офиса и арестовала студента в феврале этого года. В компании заявили, что усилили логику мониторинга, но поскольку дело перешло в судебный процесс, раскрывать подробности в настоящее время неудобно. Внешнее дополнительное чтение: «Статья: Атака только на карты Mifare Classic» «Практика информационной безопасности NFC — курс по информационному обществу Xingda» Связанные отчеты Протокол DeFi ResupplyFi был взломан и потерял 9,6 миллиона долларов, а собственный стейблкоин reUSD однажды отвязался от 0,969 доллара Холодный кошелек Trezor предупреждает: хакеры подделывают официальные письма для фишинговых атак, не делятся закрытыми ключами кошелька 〈 Ваша карта взломана талантливыми старшеклассниками? Эксперт по безопасности: 15 лет назад стала известна уязвимость MIFARE Classic! Эта статья была впервые опубликована в журнале BlockTempo "Dynamic Trend - The Most Influence Blockchain News Media".