17-летний старшеклассник использовал считыватель NFC, чтобы подделать баланс карты EasyCard, вернув ее более 40 раз за полгода, получив незаконную прибыль в размере почти 700 000 юаней. Этот инцидент вывел на передний план уязвимость MIFARE Classic, которая бездействовала в течение многих лет, заставив власти и сообщество безопасности пересмотреть уязвимости безопасности, с которыми сталкивается инфраструктура умных платежей. (Синопсис: Антиквантовый компьютер Адама Бэка «взламывает биткоин»: рекомендуется интегрировать Taproot с SLH-DSA) (Справочное дополнение: Шенту Цинчунь: Я взломал кошелек Trezor на 1350 BTC) Тайвань недавно сообщил, что 17-летний отстраненный старшеклассник использовал NFC-считыватель для подделки баланса карты Youyou, вернув ее более 40 раз за полгода, получив незаконную прибыль в размере почти 700 000 юаней. Этот инцидент вывел на первый план уязвимость MIFARE Classic, которая дремала в течение многих лет, и заставил власти и сообщество безопасности пересмотреть «старые проблемы» платежной инфраструктуры. MIFARE Classic уже давно взломан Эксперт по информационной безопасности Ху Ли увидел этот инцидент и написал, что Чжэн Чжэньмоу, профессор кафедры электротехники в НТУ, продемонстрировал CRYPTO1, используемый для взлома MIFARE Classic еще в 2010 году на HITCON и лекции CCC «Просто не говори, что вы слышали это от меня: MIFARE Classic полностью сломана» Алгоритм, который также является спецификацией, используемой в текущей карте Youyou, был полностью взломан 15 лет назад. CRYPTO1 Уязвимости шифрования, атаки по сторонним каналам (SPA, DPA) и инструмент с открытым исходным кодом Proxmark3 образуют «трилогию», которая значительно снижает порог копирования, подделки и клонирования процессов Youyou Card. Эксперт Ху Ли отметил: «Запись о добавленной стоимости хранится на стороне сервера, и сумма в конечном итоге будет найдена; Реальный риск заключается в том, что чип слишком легко заменить, и расходы на обнаружение и обеспечение правопорядка вынуждены перекладываться на полицию». Оглядываясь на случай 2011 года, в котором консультант по информационной безопасности по фамилии Ву взломал карту Youyou и был арестован за потребление в супермаркете, консультант по информационной безопасности обналичил деньги напрямую через потребление, и на этот раз старшеклассник переключился на механизм возврата: «Поскольку компания MRT не подает заявку на оплату картой Youyou напрямую после возврата средств, будет временная задержка посередине, и она не будет обнаружена сразу». По сообщениям СМИ, кажется, что потребовалось несколько месяцев, чтобы заметить аномалию во время примирения? И на этот раз количество заполнено, на самом деле это сотни тысяч». Но по сути все сводится к изменению информации на стороне карты. Ху Ли добавил: «Новая версия карты Youyou заменила базовую технологию, но до тех пор, пока старая карта все еще находится в обращении на рынке, полностью искоренить подобные инциденты не удастся. Если вы хотите решить эту проблему, вам нужно только забрать все карты, которые использовали старую систему, и уничтожить их, верно?» Полицейское расследование установило, что старшеклассник приобрел в интернете считыватель NFC китайского производства, освоил модификацию поля суммы карты в чипе с помощью самообразования, а также неоднократно записывал сумму карты до 1000 юаней, а затем шел на станцию MRT для разминки, и весь процесс одного цикла занял менее 3 минут. В конце 2024 года компания обнаружила нештатную ситуацию с помощью сверки бэк-офиса и арестовала студента в феврале этого года. В компании заявили, что усилили логику мониторинга, но поскольку дело перешло в судебный процесс, раскрывать подробности в настоящее время неудобно. Внешнее дополнительное чтение: «Статья: Атака только на карты Mifare Classic» «Практика информационной безопасности NFC — курс по информационному обществу Xingda» Связанные отчеты Протокол DeFi ResupplyFi был взломан и потерял 9,6 миллиона долларов, а собственный стейблкоин reUSD однажды отвязался от 0,969 доллара Холодный кошелек Trezor предупреждает: хакеры подделывают официальные письма для фишинговых атак, не делятся закрытыми ключами кошелька 〈 Ваша карта взломана талантливыми старшеклассниками? Эксперт по безопасности: 15 лет назад стала известна уязвимость MIFARE Classic! Эта статья была впервые опубликована в журнале BlockTempo "Dynamic Trend - The Most Influence Blockchain News Media".
Посмотреть Оригинал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Универсальная карта была взломана гениальным старшеклассником? Эксперт по безопасности: уязвимость MIFARE Classic была опубликована 15 лет назад!
17-летний старшеклассник использовал считыватель NFC, чтобы подделать баланс карты EasyCard, вернув ее более 40 раз за полгода, получив незаконную прибыль в размере почти 700 000 юаней. Этот инцидент вывел на передний план уязвимость MIFARE Classic, которая бездействовала в течение многих лет, заставив власти и сообщество безопасности пересмотреть уязвимости безопасности, с которыми сталкивается инфраструктура умных платежей. (Синопсис: Антиквантовый компьютер Адама Бэка «взламывает биткоин»: рекомендуется интегрировать Taproot с SLH-DSA) (Справочное дополнение: Шенту Цинчунь: Я взломал кошелек Trezor на 1350 BTC) Тайвань недавно сообщил, что 17-летний отстраненный старшеклассник использовал NFC-считыватель для подделки баланса карты Youyou, вернув ее более 40 раз за полгода, получив незаконную прибыль в размере почти 700 000 юаней. Этот инцидент вывел на первый план уязвимость MIFARE Classic, которая дремала в течение многих лет, и заставил власти и сообщество безопасности пересмотреть «старые проблемы» платежной инфраструктуры. MIFARE Classic уже давно взломан Эксперт по информационной безопасности Ху Ли увидел этот инцидент и написал, что Чжэн Чжэньмоу, профессор кафедры электротехники в НТУ, продемонстрировал CRYPTO1, используемый для взлома MIFARE Classic еще в 2010 году на HITCON и лекции CCC «Просто не говори, что вы слышали это от меня: MIFARE Classic полностью сломана» Алгоритм, который также является спецификацией, используемой в текущей карте Youyou, был полностью взломан 15 лет назад. CRYPTO1 Уязвимости шифрования, атаки по сторонним каналам (SPA, DPA) и инструмент с открытым исходным кодом Proxmark3 образуют «трилогию», которая значительно снижает порог копирования, подделки и клонирования процессов Youyou Card. Эксперт Ху Ли отметил: «Запись о добавленной стоимости хранится на стороне сервера, и сумма в конечном итоге будет найдена; Реальный риск заключается в том, что чип слишком легко заменить, и расходы на обнаружение и обеспечение правопорядка вынуждены перекладываться на полицию». Оглядываясь на случай 2011 года, в котором консультант по информационной безопасности по фамилии Ву взломал карту Youyou и был арестован за потребление в супермаркете, консультант по информационной безопасности обналичил деньги напрямую через потребление, и на этот раз старшеклассник переключился на механизм возврата: «Поскольку компания MRT не подает заявку на оплату картой Youyou напрямую после возврата средств, будет временная задержка посередине, и она не будет обнаружена сразу». По сообщениям СМИ, кажется, что потребовалось несколько месяцев, чтобы заметить аномалию во время примирения? И на этот раз количество заполнено, на самом деле это сотни тысяч». Но по сути все сводится к изменению информации на стороне карты. Ху Ли добавил: «Новая версия карты Youyou заменила базовую технологию, но до тех пор, пока старая карта все еще находится в обращении на рынке, полностью искоренить подобные инциденты не удастся. Если вы хотите решить эту проблему, вам нужно только забрать все карты, которые использовали старую систему, и уничтожить их, верно?» Полицейское расследование установило, что старшеклассник приобрел в интернете считыватель NFC китайского производства, освоил модификацию поля суммы карты в чипе с помощью самообразования, а также неоднократно записывал сумму карты до 1000 юаней, а затем шел на станцию MRT для разминки, и весь процесс одного цикла занял менее 3 минут. В конце 2024 года компания обнаружила нештатную ситуацию с помощью сверки бэк-офиса и арестовала студента в феврале этого года. В компании заявили, что усилили логику мониторинга, но поскольку дело перешло в судебный процесс, раскрывать подробности в настоящее время неудобно. Внешнее дополнительное чтение: «Статья: Атака только на карты Mifare Classic» «Практика информационной безопасности NFC — курс по информационному обществу Xingda» Связанные отчеты Протокол DeFi ResupplyFi был взломан и потерял 9,6 миллиона долларов, а собственный стейблкоин reUSD однажды отвязался от 0,969 доллара Холодный кошелек Trezor предупреждает: хакеры подделывают официальные письма для фишинговых атак, не делятся закрытыми ключами кошелька 〈 Ваша карта взломана талантливыми старшеклассниками? Эксперт по безопасности: 15 лет назад стала известна уязвимость MIFARE Classic! Эта статья была впервые опубликована в журнале BlockTempo "Dynamic Trend - The Most Influence Blockchain News Media".