17 yaşındaki bir lise öğrencisi, NFC okuyucu kullanarak EasyCard bakiyesini değiştirdi, altı ay içinde 40'tan fazla geri ödeme yaptı ve yasadışı olarak yaklaşık 700.000 TL kazandı. Bu olay, uzun süredir sessiz kalan MIFARE Classic açığını yeniden gündeme getirdi ve yetkilileri ile siber güvenlik camiasını akıllı ödeme altyapısının karşılaştığı güvenlik açıklarını yeniden gözden geçirmeye zorladı. (Önceki bilgiler: Adam Back, kuantum bilgisayarların "Bitcoin'i kırmasının" önüne geçmek için SLH-DSA'nın Taproot ile entegrasyonunu önerdi) (Arka plan bilgisi: Shen Tu Qing Chun: 1350 BTC'lik bir Trezor cüzdanını çözdüm) Tayvan'da, 17 yaşında okulu bırakan bir lise öğrencisinin NFC okuyucu kullanarak EasyCard bakiyesini değiştirdiği ve altı ay boyunca 40'tan fazla geri ödeme yaptığı, yasadışı olarak yaklaşık 700.000 TL kazandığı bildirildi. Bu olay, uzun süredir sessiz kalan MIFARE Classic açığını yeniden gündeme getirdi ve yetkilileri ile siber güvenlik camiasını ödeme altyapısının "eski sorunlarını" yeniden gözden geçirmeye zorladı. MIFARE Classic çoktan kırılmıştı. Siber güvenlik uzmanı Huli, bu olayı gördüğünde, NTU Elektrik Mühendisliği Profesörü Zheng Zhenmou'nun 2010 yılında HITCON ve CCC'deki "Just Don’t Say You Heard It From Me: MIFARE Classic IS Completely Broken" adlı konuşmasında MIFARE Classic'in kırılmasını sağlayan CRYPTO1 algoritmasını gösterdiğini açıkladı; bu, şu anda EasyCard'da kullanılan standarttır ve 15 yıl önce tamamen kırılmıştır. CRYPTO1 şifrelemesinin açıkları, yan kanal saldırıları (SPA, DPA) ve açık kaynak araç Proxmark3, EasyCard'ın kopyalanmasını, değiştirilmesini ve klonlanmasını kolaylaştıran bir "üçleme" oluşturdu. Uzman Huli, "Yükleme kayıtları sunucu tarafında saklanıyor, tutar uyuşmazlığı sonunda fark edilir; gerçek risk, çipin çok kolay değiştirilmesidir ve tespit ve uygulama maliyetleri polise outsource edilmek zorunda." 2011 yılında bir Wu adlı siber güvenlik danışmanının EasyCard'ı mağazada kullanarak nakit çekim yaptığı için tutuklandığı olaya geri dönüldüğünde, o sırada bu danışman doğrudan alışveriş yoluyla nakit çekim yapmıştı, ancak bu lise öğrencisi iade mekanizmasını kullanarak geri ödeme yaptı. "İade sonrası metro şirketi doğrudan EasyCard'dan para talep etmediği için arada bir zaman farkı oluyordu, hemen fark edilmeyecekti. Gazetelerdeki haberlere göre, birkaç ay sonra hesap kontrolü sırasında anormallikler tespit edilerek fark edildi. Hem de bu seferki miktar oldukça büyük, yüz binlerce TL var." Ancak özünde her ikisi de kartın son verilerini değiştirmekle ilgilidir. Huli, "Yeni EasyCard, alt taban teknolojisini değiştirdi, ancak eski kartlar piyasada olduğu sürece benzer olayların tamamen önüne geçilemez. Eğer çözmek istiyorsak, eski sistemden olan tüm kartların geri alınıp elden çıkarılması gerekir," diye ekledi. Lise öğrencisinin EasyCard değiştirme yöntemi, polis soruşturmasında, bu öğrencinin internetten Çin yapımı bir NFC okuyucu satın aldığı, kendi kendine EasyCard’daki bakiye alanını nasıl değiştireceğini öğrendiği ve kartın bakiyesini defalarca 1000 TL olarak yazdığı, ardından metro istasyonuna gidip geri ödeme yaptığı belirlendi; tüm döngü süreci 3 dakikadan az sürdü. EasyCard şirketi, 2024 yılının sonunda arka planda yapılan hesaplamalarla anormal bir durum tespit etti ve bu yılın Şubat ayında bu öğrenciyi tutuklamak için polise başvurdu. EasyCard şirketi, izleme mantığını güçlendirdiğini belirtti, ancak dava yargı sürecine girdiği için şu anda daha fazla ayrıntı veremeyeceklerini bildirdi. Dış okumalar: "Makale: Mifare Classic'in yalnızca kart saldırısı" "NFC siber güvenlik pratikleri - Hsing Hua Bilgisayar Kulübü dersi" İlgili haberler DeFi protokolü ResupplyFi, 9.6 milyon dolar kaybettiği bir hacker saldırısına uğradı; yerel stablecoin reUSD, 0.969 dolara kadar düştü. Soğuk cüzdan Trezor, hackerların resmi e-postayı taklit ederek phishing saldırıları yaptığını ve cüzdan özel anahtarını paylaşmamalarını uyardı. "Bir dahi lise öğrencisi EasyCard'ı çözdü mü? Siber güvenlik uzmanı: MIFARE Classic açığı 15 yıl önce zaten yayımlandı!" Bu makale, ilk olarak BlockTempo'nun "Blok Zinciri'nin En Etkili Haber Medyası" adlı yayınında yayınlandı.
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Akıllı lise öğrencisi, EasyCard'ı mı kırdı? Siber güvenlik uzmanı: MIFARE Classic açığı 15 yıl önce zaten açıklandı!
17 yaşındaki bir lise öğrencisi, NFC okuyucu kullanarak EasyCard bakiyesini değiştirdi, altı ay içinde 40'tan fazla geri ödeme yaptı ve yasadışı olarak yaklaşık 700.000 TL kazandı. Bu olay, uzun süredir sessiz kalan MIFARE Classic açığını yeniden gündeme getirdi ve yetkilileri ile siber güvenlik camiasını akıllı ödeme altyapısının karşılaştığı güvenlik açıklarını yeniden gözden geçirmeye zorladı. (Önceki bilgiler: Adam Back, kuantum bilgisayarların "Bitcoin'i kırmasının" önüne geçmek için SLH-DSA'nın Taproot ile entegrasyonunu önerdi) (Arka plan bilgisi: Shen Tu Qing Chun: 1350 BTC'lik bir Trezor cüzdanını çözdüm) Tayvan'da, 17 yaşında okulu bırakan bir lise öğrencisinin NFC okuyucu kullanarak EasyCard bakiyesini değiştirdiği ve altı ay boyunca 40'tan fazla geri ödeme yaptığı, yasadışı olarak yaklaşık 700.000 TL kazandığı bildirildi. Bu olay, uzun süredir sessiz kalan MIFARE Classic açığını yeniden gündeme getirdi ve yetkilileri ile siber güvenlik camiasını ödeme altyapısının "eski sorunlarını" yeniden gözden geçirmeye zorladı. MIFARE Classic çoktan kırılmıştı. Siber güvenlik uzmanı Huli, bu olayı gördüğünde, NTU Elektrik Mühendisliği Profesörü Zheng Zhenmou'nun 2010 yılında HITCON ve CCC'deki "Just Don’t Say You Heard It From Me: MIFARE Classic IS Completely Broken" adlı konuşmasında MIFARE Classic'in kırılmasını sağlayan CRYPTO1 algoritmasını gösterdiğini açıkladı; bu, şu anda EasyCard'da kullanılan standarttır ve 15 yıl önce tamamen kırılmıştır. CRYPTO1 şifrelemesinin açıkları, yan kanal saldırıları (SPA, DPA) ve açık kaynak araç Proxmark3, EasyCard'ın kopyalanmasını, değiştirilmesini ve klonlanmasını kolaylaştıran bir "üçleme" oluşturdu. Uzman Huli, "Yükleme kayıtları sunucu tarafında saklanıyor, tutar uyuşmazlığı sonunda fark edilir; gerçek risk, çipin çok kolay değiştirilmesidir ve tespit ve uygulama maliyetleri polise outsource edilmek zorunda." 2011 yılında bir Wu adlı siber güvenlik danışmanının EasyCard'ı mağazada kullanarak nakit çekim yaptığı için tutuklandığı olaya geri dönüldüğünde, o sırada bu danışman doğrudan alışveriş yoluyla nakit çekim yapmıştı, ancak bu lise öğrencisi iade mekanizmasını kullanarak geri ödeme yaptı. "İade sonrası metro şirketi doğrudan EasyCard'dan para talep etmediği için arada bir zaman farkı oluyordu, hemen fark edilmeyecekti. Gazetelerdeki haberlere göre, birkaç ay sonra hesap kontrolü sırasında anormallikler tespit edilerek fark edildi. Hem de bu seferki miktar oldukça büyük, yüz binlerce TL var." Ancak özünde her ikisi de kartın son verilerini değiştirmekle ilgilidir. Huli, "Yeni EasyCard, alt taban teknolojisini değiştirdi, ancak eski kartlar piyasada olduğu sürece benzer olayların tamamen önüne geçilemez. Eğer çözmek istiyorsak, eski sistemden olan tüm kartların geri alınıp elden çıkarılması gerekir," diye ekledi. Lise öğrencisinin EasyCard değiştirme yöntemi, polis soruşturmasında, bu öğrencinin internetten Çin yapımı bir NFC okuyucu satın aldığı, kendi kendine EasyCard’daki bakiye alanını nasıl değiştireceğini öğrendiği ve kartın bakiyesini defalarca 1000 TL olarak yazdığı, ardından metro istasyonuna gidip geri ödeme yaptığı belirlendi; tüm döngü süreci 3 dakikadan az sürdü. EasyCard şirketi, 2024 yılının sonunda arka planda yapılan hesaplamalarla anormal bir durum tespit etti ve bu yılın Şubat ayında bu öğrenciyi tutuklamak için polise başvurdu. EasyCard şirketi, izleme mantığını güçlendirdiğini belirtti, ancak dava yargı sürecine girdiği için şu anda daha fazla ayrıntı veremeyeceklerini bildirdi. Dış okumalar: "Makale: Mifare Classic'in yalnızca kart saldırısı" "NFC siber güvenlik pratikleri - Hsing Hua Bilgisayar Kulübü dersi" İlgili haberler DeFi protokolü ResupplyFi, 9.6 milyon dolar kaybettiği bir hacker saldırısına uğradı; yerel stablecoin reUSD, 0.969 dolara kadar düştü. Soğuk cüzdan Trezor, hackerların resmi e-postayı taklit ederek phishing saldırıları yaptığını ve cüzdan özel anahtarını paylaşmamalarını uyardı. "Bir dahi lise öğrencisi EasyCard'ı çözdü mü? Siber güvenlik uzmanı: MIFARE Classic açığı 15 yıl önce zaten yayımlandı!" Bu makale, ilk olarak BlockTempo'nun "Blok Zinciri'nin En Etkili Haber Medyası" adlı yayınında yayınlandı.