Хакеры угрожают РЖД научить всех подделывать билеты
Александр Кузнецов
—
Российская группа хакеров Che Burashka обнаружила уязвимости в системе продаж билетов на московские электрички. Разработчик системы компания «Микротех» отказалась выйти с ними на контакт, и теперь они заявляют о том, что могут выпустить софт для массовой подделки билетов. Прототип этого софта уже готов, но он используется только хакерами.
Хакеры купили на Avito несколько турникетов с документацией и дискетой, на которую записан софт. Они также приобрели несколько десятков билетов и выяснили, как устроена их защита. На билетах напечатан штрих-код или QR-код, контрольный код для которого генерируется на основе одного алгоритма. В этом алгоритме лишь одна переменная составляющая, но она общая для всех электричек и каждый день вручную загружается на кассовые и переносные терминалы. Вычислить переменную составляющую очень просто, для этого достаточно лишь одного билета (который можно найти, например, в мусоре).
Хакеры создали поддельное приложение, которое выглядит как официальное («Пригородный билет»), но позволяет бесплатно генерировать билеты для проезда в электричках. Поддельные билеты успешно проходят проверку на переносном терминале при посадке, но контролёры могут выяснить, что информации о них нет в базе данных РЖД.
Исследователи ждут от «Микротеха» публичного признания уязвимостей в системе продажи билетов, в ином случае грозят выложить поддельное приложение в открытый доступ, а также создать его улучшенную версию с поддержкой NFC, благодаря которой можно бесплатно генерировать бесконтактные билеты.
По словам хакеров, исследования уязвимостей проводились законно и РЖД не был причинён ущерб. При проверке поддельных билетов на считываемость переносными терминалами они приобретали настоящие билеты, которые затем выбрасывали.
Канал iG в Telegram — t.me/iguides_ru
Источник:
Рекомендации
Рекомендации
Комментарии
+22
Правильно. Не хотят решать проблему, значит нужно наказывать.
+119
Халтурно защитили билетики. Если покопать — таких дырок повсюду много. Справедливости ради — не только в России.
Просто когда-то и qr-код считался магией и их размещали на небоскребах и фотали как событие, а в реальности — очень много дырявых технологий, которые будут аукаться и аукаться.
Просто когда-то и qr-код считался магией и их размещали на небоскребах и фотали как событие, а в реальности — очень много дырявых технологий, которые будут аукаться и аукаться.
+16
Лол, я школьник, есть карточка, на ней кодик. Но не в этом дело. Я просто на кассе даю этот пропуск и мне на изи делают 50% скидку. Вам на будущее, такая шняга работает для учеников школ, ВУЗОВ, университетов, институтов и тд образовательных учреждений, главное иметь подтверждение (пропуск)