Seorang siswa sekolah menengah berusia 17 tahun menggunakan pembaca NFC untuk merusak saldo EasyCard, mengembalikannya lebih dari 40 kali dalam setengah tahun, menghasilkan keuntungan ilegal hampir 700.000 yuan. Insiden tersebut mengedepankan kerentanan MIFARE Classic, yang telah tidak aktif selama bertahun-tahun, memaksa pihak berwenang dan komunitas keamanan untuk memeriksa kembali kerentanan keamanan yang dihadapi oleh infrastruktur pembayaran pintar. (Sinopsis: Komputer anti-kuantum Adam Back "memecahkan Bitcoin": disarankan untuk mengintegrasikan Taproot dengan SLH-DSA) (Suplemen latar belakang: Shentu Qingchun: Saya memecahkan dompet Trezor 1350 BTC) Taiwan baru-baru ini memecahkan bahwa seorang siswa sekolah menengah berusia 17 tahun yang diskors menggunakan pembaca NFC untuk merusak saldo kartu Youyou, mengembalikan lebih dari 40 kali dalam setengah tahun, menghasilkan keuntungan ilegal hampir 700.000 yuan. Insiden ini mengedepankan kerentanan MIFARE Classic, yang telah tidak aktif selama bertahun-tahun, dan memaksa pihak berwenang dan komunitas keamanan untuk memeriksa kembali "masalah lama" infrastruktur pembayaran. MIFARE Classic telah lama diretas Pakar keamanan informasi Hu Li Huli melihat insiden ini dan memposting bahwa Zheng Zhenmou, seorang profesor di Departemen Teknik Elektro di NTU, telah mendemonstrasikan CRYPTO1 yang digunakan untuk memecahkan MIFARE Classic pada awal 2010 HITCON dan ceramah CCC "Jangan Katakan Anda Mendengarnya Dari Saya: MIFARE Classic Benar-benar Rusak" Algoritma, yang juga merupakan spesifikasi yang digunakan oleh kartu Youyou saat ini, telah benar-benar retak 15 tahun yang lalu. CRYPTO1 Kerentanan enkripsi, serangan saluran samping (SPA, DPA) dan alat sumber terbuka Proxmark3 membentuk "trilogi" yang sangat menurunkan ambang batas untuk menyalin, mengutak, dan mengkloning proses Youyou Card. Pakar Hu Li Huli menunjukkan: "Catatan nilai tambah disimpan di sisi server, dan jumlahnya pada akhirnya akan ditemukan; Risiko sebenarnya adalah chip terlalu mudah untuk diubah, dan biaya deteksi dan penegakan hukum terpaksa dialihdayakan ke polisi." Melihat kembali kasus tahun 2011 di mana seorang konsultan keamanan informasi bermarga Wu memecahkan kartu Youyou dan ditangkap dalam konsumsi supermarket, konsultan keamanan informasi menguangkan langsung melalui konsumsi, dan kali ini siswa sekolah menengah beralih ke mekanisme pengembalian dana, "Karena perusahaan MRT tidak langsung mengajukan pembayaran dengan kartu Youyou setelah pengembalian dana, akan ada jeda waktu di tengah, dan itu tidak akan segera ditemukan." Menurut laporan berita, tampaknya butuh beberapa bulan untuk melihat anomali selama rekonsiliasi? Dan kali ini jumlahnya penuh, sebenarnya ada ratusan ribu." Namun pada dasarnya, ini semua tentang memodifikasi informasi di sisi kartu. Hu Li Huli menambahkan: "Versi baru dari kartu Youyou telah menggantikan teknologi yang mendasarinya, tetapi selama kartu lama masih beredar di pasar, tidak mungkin untuk sepenuhnya memberantas insiden serupa. Jika Anda ingin menyelesaikannya, Anda hanya perlu mengambil kembali semua kartu yang menggunakan sistem lama dan menghilangkannya, kan?" Penyelidikan polisi menemukan bahwa siswa sekolah menengah membeli pembaca NFC buatan China di Internet, menguasai modifikasi bidang jumlah kartu di chip melalui pendidikan mandiri, dan berulang kali menulis jumlah kartu menjadi 1.000 yuan, dan kemudian pergi ke stasiun MRT untuk melepas gesek, dan seluruh proses siklus tunggal memakan waktu kurang dari 3 menit. Pada akhir tahun 2024, perusahaan menemukan situasi abnormal melalui rekonsiliasi back-office dan menangkap siswa tersebut pada Februari tahun ini. Perusahaan mengatakan bahwa mereka telah memperkuat logika pemantauan, tetapi karena kasus tersebut telah memasuki proses peradilan, tidak nyaman untuk mengungkapkan rincian lebih lanjut saat ini. Bacaan Lebih Lanjut Eksternal: "Makalah: Serangan Khusus Kartu Mifare Classic" "Praktik Keamanan Informasi NFC – Kursus Masyarakat Informasi Xingda" Laporan Terkait Protokol DeFi ResupplyFi diretas dan kehilangan $9,6 juta, dan stablecoin asli reUSD pernah dideanchor menjadi $0,969 Dompet dingin Trezor memperingatkan: Peretas memalsukan surat resmi untuk serangan phishing, jangan bagikan kunci pribadi dompet kartu Youyou dipecahkan oleh siswa sekolah menengah berbakat? Pakar keamanan: Kerentanan MIFARE Classic dipublikasikan 15 tahun yang lalu! Artikel ini pertama kali diterbitkan di BlockTempo's "Dynamic Trend - The Most Influential Blockchain News Media".
Lihat Asli
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Kartu e-money berhasil diretas oleh siswa SMA jenius? Ahli keamanan siber: Kerentanan MIFARE Classic sudah diumumkan 15 tahun yang lalu!
Seorang siswa sekolah menengah berusia 17 tahun menggunakan pembaca NFC untuk merusak saldo EasyCard, mengembalikannya lebih dari 40 kali dalam setengah tahun, menghasilkan keuntungan ilegal hampir 700.000 yuan. Insiden tersebut mengedepankan kerentanan MIFARE Classic, yang telah tidak aktif selama bertahun-tahun, memaksa pihak berwenang dan komunitas keamanan untuk memeriksa kembali kerentanan keamanan yang dihadapi oleh infrastruktur pembayaran pintar. (Sinopsis: Komputer anti-kuantum Adam Back "memecahkan Bitcoin": disarankan untuk mengintegrasikan Taproot dengan SLH-DSA) (Suplemen latar belakang: Shentu Qingchun: Saya memecahkan dompet Trezor 1350 BTC) Taiwan baru-baru ini memecahkan bahwa seorang siswa sekolah menengah berusia 17 tahun yang diskors menggunakan pembaca NFC untuk merusak saldo kartu Youyou, mengembalikan lebih dari 40 kali dalam setengah tahun, menghasilkan keuntungan ilegal hampir 700.000 yuan. Insiden ini mengedepankan kerentanan MIFARE Classic, yang telah tidak aktif selama bertahun-tahun, dan memaksa pihak berwenang dan komunitas keamanan untuk memeriksa kembali "masalah lama" infrastruktur pembayaran. MIFARE Classic telah lama diretas Pakar keamanan informasi Hu Li Huli melihat insiden ini dan memposting bahwa Zheng Zhenmou, seorang profesor di Departemen Teknik Elektro di NTU, telah mendemonstrasikan CRYPTO1 yang digunakan untuk memecahkan MIFARE Classic pada awal 2010 HITCON dan ceramah CCC "Jangan Katakan Anda Mendengarnya Dari Saya: MIFARE Classic Benar-benar Rusak" Algoritma, yang juga merupakan spesifikasi yang digunakan oleh kartu Youyou saat ini, telah benar-benar retak 15 tahun yang lalu. CRYPTO1 Kerentanan enkripsi, serangan saluran samping (SPA, DPA) dan alat sumber terbuka Proxmark3 membentuk "trilogi" yang sangat menurunkan ambang batas untuk menyalin, mengutak, dan mengkloning proses Youyou Card. Pakar Hu Li Huli menunjukkan: "Catatan nilai tambah disimpan di sisi server, dan jumlahnya pada akhirnya akan ditemukan; Risiko sebenarnya adalah chip terlalu mudah untuk diubah, dan biaya deteksi dan penegakan hukum terpaksa dialihdayakan ke polisi." Melihat kembali kasus tahun 2011 di mana seorang konsultan keamanan informasi bermarga Wu memecahkan kartu Youyou dan ditangkap dalam konsumsi supermarket, konsultan keamanan informasi menguangkan langsung melalui konsumsi, dan kali ini siswa sekolah menengah beralih ke mekanisme pengembalian dana, "Karena perusahaan MRT tidak langsung mengajukan pembayaran dengan kartu Youyou setelah pengembalian dana, akan ada jeda waktu di tengah, dan itu tidak akan segera ditemukan." Menurut laporan berita, tampaknya butuh beberapa bulan untuk melihat anomali selama rekonsiliasi? Dan kali ini jumlahnya penuh, sebenarnya ada ratusan ribu." Namun pada dasarnya, ini semua tentang memodifikasi informasi di sisi kartu. Hu Li Huli menambahkan: "Versi baru dari kartu Youyou telah menggantikan teknologi yang mendasarinya, tetapi selama kartu lama masih beredar di pasar, tidak mungkin untuk sepenuhnya memberantas insiden serupa. Jika Anda ingin menyelesaikannya, Anda hanya perlu mengambil kembali semua kartu yang menggunakan sistem lama dan menghilangkannya, kan?" Penyelidikan polisi menemukan bahwa siswa sekolah menengah membeli pembaca NFC buatan China di Internet, menguasai modifikasi bidang jumlah kartu di chip melalui pendidikan mandiri, dan berulang kali menulis jumlah kartu menjadi 1.000 yuan, dan kemudian pergi ke stasiun MRT untuk melepas gesek, dan seluruh proses siklus tunggal memakan waktu kurang dari 3 menit. Pada akhir tahun 2024, perusahaan menemukan situasi abnormal melalui rekonsiliasi back-office dan menangkap siswa tersebut pada Februari tahun ini. Perusahaan mengatakan bahwa mereka telah memperkuat logika pemantauan, tetapi karena kasus tersebut telah memasuki proses peradilan, tidak nyaman untuk mengungkapkan rincian lebih lanjut saat ini. Bacaan Lebih Lanjut Eksternal: "Makalah: Serangan Khusus Kartu Mifare Classic" "Praktik Keamanan Informasi NFC – Kursus Masyarakat Informasi Xingda" Laporan Terkait Protokol DeFi ResupplyFi diretas dan kehilangan $9,6 juta, dan stablecoin asli reUSD pernah dideanchor menjadi $0,969 Dompet dingin Trezor memperingatkan: Peretas memalsukan surat resmi untuk serangan phishing, jangan bagikan kunci pribadi dompet kartu Youyou dipecahkan oleh siswa sekolah menengah berbakat? Pakar keamanan: Kerentanan MIFARE Classic dipublikasikan 15 tahun yang lalu! Artikel ini pertama kali diterbitkan di BlockTempo's "Dynamic Trend - The Most Influential Blockchain News Media".