طالب ثانوي يبلغ من العمر 17 عامًا قام بتعديل رصيد بطاقة يويوب بواسطة قارئ NFC، واستعاد أكثر من 40 مرة خلال ستة أشهر، محققًا أرباحًا غير قانونية تصل إلى 700,000 دولار. هذه الحادثة أعادت تسليط الضوء على ثغرة MIFARE Classic التي كانت راكدة لسنوات، مما أجبر السلطات والقطاع الأمني على إعادة النظر في الثغرات الأمنية التي تواجه البنية التحتية للدفع الذكي. (ملخص سابق: آدم باك حول الكمبيوترات الكمومية "اختراق البيتكوين": ينصح باستخدام SLH-DSA مع Taproot) (معلومات خلفية: شين تو تشينغ: لقد قمت باختراق محفظة Trezor تحتوي على 1350 BTC) في تايوان، تم الإبلاغ مؤخرًا عن أن طالب ثانوي يبلغ من العمر 17 عامًا قام بتعديل رصيد بطاقة يويوب باستخدام قارئ NFC، واستعاد أكثر من 40 مرة خلال ستة أشهر، محققًا أرباحًا غير قانونية تصل إلى 700,000 دولار. هذه الحادثة أعادت ظهور ثغرة MIFARE Classic القديمة، مما أجبر السلطات والقطاع الأمني على إعادة النظر في "المشكلات القديمة" في البنية التحتية للدفع. تم اختراق MIFARE Classic منذ فترة. خبير الأمن السيبراني هو لي Huli، رأى هذا الحادث، وكتب منشورًا يشير إلى أن أستاذ الهندسة الكهربائية في جامعة تايوان تشنغ تشن مو، قد أظهر في محاضرة HITCON وCCC في عام 2010 بعنوان "فقط لا تقل أنك سمعت ذلك مني: MIFARE Classic مكسورة تمامًا" كيفية اختراق خوارزمية التشفير CRYPTO1 المستخدمة حاليًا من قبل بطاقة يويوب، والتي تم اختراقها بالكامل منذ 15 عامًا. نقاط ضعف تشفير CRYPTO1، هجمات القنوات الجانبية (SPA، DPA) وأدوات مفتوحة المصدر Proxmark3، شكلت "ثلاثية"، مما خفض بشكل كبير عتبة نسخ وتعديل وClone بطاقة يويوب. أشار الخبير هو لي Huli إلى: "سجلات القيمة موجودة على خادم، ولن يتطابق المبلغ في النهاية، وسيتم اكتشافه؛ الخطر الحقيقي هو أن الشريحة سهلة التعديل، وتكاليف الكشف وإنفاذ القانون مُجبرة على أن تُعهد إلى الشرطة." عند مراجعة قضية استشارية أمنية وُقعت في عام 2011 حيث تم القبض على مستشار أمني يُدعى ووجان وهو يقوم باختراق بطاقة يويوب في متجر، كان هذا المستشار يقوم بتحويل الأموال مباشرة من خلال الشراء، بينما استخدم الطالب الثانوي آلية الاسترداد، "لأنه بعد الاسترداد، لا تتقدم شركة المترو مباشرة إلى بطاقة يويوب، لذلك سيكون هناك فرق زمني، ولن يتم اكتشافه على الفور. وفقًا للتقارير الإخبارية، يبدو أنه بعد عدة أشهر من مراجعة الحسابات تم اكتشاف الأمر؟ والمبلغ كبير جدًا، حيث كان هناك عشرات الآلاف." ولكن جوهريًا، كلاهما يعدل بيانات بطاقة الدفع. أوضح هو لي Huli: "لقد تم تحديث بطاقة يويوب الجديدة بتكنولوجيا أساسية جديدة، ولكن طالما أن البطاقات القديمة لا تزال في السوق، فلن يكون ممكنًا القضاء تمامًا على وقوع مثل هذه الحوادث. إذا كان من الضروري الحل، ينبغي استعادة جميع البطاقات القديمة وإخراجها من التداول؟" طريقة تعديل بطاقة يويوب من قبل الطالب الثانوي أظهرت الشرطة أن الطالب الثانوي قد اشترى قارئ NFC مصنوع في الصين عبر الإنترنت، وأتقن بطريقة التعلم الذاتي كيفية تعديل حقل رصيد بطاقة يويوب، وقام بشكل متكرر بكتابة مبلغ 1000 دولار في بطاقة، ثم توجه إلى محطة المترو لإجراء استرداد، وكانت دورة العملية الواحدة أقل من 3 دقائق. اكتشفت شركة بطاقة يويوب حالة غير طبيعية من خلال الحسابات الخلفية في نهاية عام 2024، وأبلغت الشرطة في فبراير من هذا العام واعتقلت الطالب. وذكرت شركة بطاقة يويوب أنها قد عززت منطق المراقبة، ولكن نظرًا لأن القضية قد دخلت في الإجراءات القانونية، فلا يمكنها الكشف عن المزيد من التفاصيل في الوقت الحالي. قراءة موسعة خارجية: "ورقة بحثية: هجمات البطاقة الواحدة على Mifare Classic" "الأمن السيبراني العملي - دروس جمعية المعلومات في جامعة شينغدا" تقارير ذات صلة: تعرض بروتوكول DeFi ResupplyFi لهجوم هاكرز وفقدت 9.6 مليون دولار، وانخفضت عملة مستقرة الأصلية reUSD إلى 0.969 دولار. حذرت المحفظة الباردة Trezor: هاكرز يتظاهرون برسائل رسمية لشن هجمات تصيد، لا تشارك المفتاح الخاص لمحفظتك. "هل تم اختراق بطاقة يويوب بواسطة طالب ثانوي عبقري؟ خبراء الأمن السيبراني: ثغرة MIFARE Classic تم الكشف عنها منذ 15 عامًا!" تم نشر هذه المقالة لأول مرة في BlockTempo "BlockTempo - أكثر وسائل الإعلام تأثيرًا في أخبار البلوكتشين."
شاهد النسخة الأصلية
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
بطاقة يويول تم اختراقها من قبل طالب ثانوي عبقري؟ خبراء الأمن السيبراني: ثغرة MIFARE Classic تم الكشف عنها منذ 15 عامًا!
طالب ثانوي يبلغ من العمر 17 عامًا قام بتعديل رصيد بطاقة يويوب بواسطة قارئ NFC، واستعاد أكثر من 40 مرة خلال ستة أشهر، محققًا أرباحًا غير قانونية تصل إلى 700,000 دولار. هذه الحادثة أعادت تسليط الضوء على ثغرة MIFARE Classic التي كانت راكدة لسنوات، مما أجبر السلطات والقطاع الأمني على إعادة النظر في الثغرات الأمنية التي تواجه البنية التحتية للدفع الذكي. (ملخص سابق: آدم باك حول الكمبيوترات الكمومية "اختراق البيتكوين": ينصح باستخدام SLH-DSA مع Taproot) (معلومات خلفية: شين تو تشينغ: لقد قمت باختراق محفظة Trezor تحتوي على 1350 BTC) في تايوان، تم الإبلاغ مؤخرًا عن أن طالب ثانوي يبلغ من العمر 17 عامًا قام بتعديل رصيد بطاقة يويوب باستخدام قارئ NFC، واستعاد أكثر من 40 مرة خلال ستة أشهر، محققًا أرباحًا غير قانونية تصل إلى 700,000 دولار. هذه الحادثة أعادت ظهور ثغرة MIFARE Classic القديمة، مما أجبر السلطات والقطاع الأمني على إعادة النظر في "المشكلات القديمة" في البنية التحتية للدفع. تم اختراق MIFARE Classic منذ فترة. خبير الأمن السيبراني هو لي Huli، رأى هذا الحادث، وكتب منشورًا يشير إلى أن أستاذ الهندسة الكهربائية في جامعة تايوان تشنغ تشن مو، قد أظهر في محاضرة HITCON وCCC في عام 2010 بعنوان "فقط لا تقل أنك سمعت ذلك مني: MIFARE Classic مكسورة تمامًا" كيفية اختراق خوارزمية التشفير CRYPTO1 المستخدمة حاليًا من قبل بطاقة يويوب، والتي تم اختراقها بالكامل منذ 15 عامًا. نقاط ضعف تشفير CRYPTO1، هجمات القنوات الجانبية (SPA، DPA) وأدوات مفتوحة المصدر Proxmark3، شكلت "ثلاثية"، مما خفض بشكل كبير عتبة نسخ وتعديل وClone بطاقة يويوب. أشار الخبير هو لي Huli إلى: "سجلات القيمة موجودة على خادم، ولن يتطابق المبلغ في النهاية، وسيتم اكتشافه؛ الخطر الحقيقي هو أن الشريحة سهلة التعديل، وتكاليف الكشف وإنفاذ القانون مُجبرة على أن تُعهد إلى الشرطة." عند مراجعة قضية استشارية أمنية وُقعت في عام 2011 حيث تم القبض على مستشار أمني يُدعى ووجان وهو يقوم باختراق بطاقة يويوب في متجر، كان هذا المستشار يقوم بتحويل الأموال مباشرة من خلال الشراء، بينما استخدم الطالب الثانوي آلية الاسترداد، "لأنه بعد الاسترداد، لا تتقدم شركة المترو مباشرة إلى بطاقة يويوب، لذلك سيكون هناك فرق زمني، ولن يتم اكتشافه على الفور. وفقًا للتقارير الإخبارية، يبدو أنه بعد عدة أشهر من مراجعة الحسابات تم اكتشاف الأمر؟ والمبلغ كبير جدًا، حيث كان هناك عشرات الآلاف." ولكن جوهريًا، كلاهما يعدل بيانات بطاقة الدفع. أوضح هو لي Huli: "لقد تم تحديث بطاقة يويوب الجديدة بتكنولوجيا أساسية جديدة، ولكن طالما أن البطاقات القديمة لا تزال في السوق، فلن يكون ممكنًا القضاء تمامًا على وقوع مثل هذه الحوادث. إذا كان من الضروري الحل، ينبغي استعادة جميع البطاقات القديمة وإخراجها من التداول؟" طريقة تعديل بطاقة يويوب من قبل الطالب الثانوي أظهرت الشرطة أن الطالب الثانوي قد اشترى قارئ NFC مصنوع في الصين عبر الإنترنت، وأتقن بطريقة التعلم الذاتي كيفية تعديل حقل رصيد بطاقة يويوب، وقام بشكل متكرر بكتابة مبلغ 1000 دولار في بطاقة، ثم توجه إلى محطة المترو لإجراء استرداد، وكانت دورة العملية الواحدة أقل من 3 دقائق. اكتشفت شركة بطاقة يويوب حالة غير طبيعية من خلال الحسابات الخلفية في نهاية عام 2024، وأبلغت الشرطة في فبراير من هذا العام واعتقلت الطالب. وذكرت شركة بطاقة يويوب أنها قد عززت منطق المراقبة، ولكن نظرًا لأن القضية قد دخلت في الإجراءات القانونية، فلا يمكنها الكشف عن المزيد من التفاصيل في الوقت الحالي. قراءة موسعة خارجية: "ورقة بحثية: هجمات البطاقة الواحدة على Mifare Classic" "الأمن السيبراني العملي - دروس جمعية المعلومات في جامعة شينغدا" تقارير ذات صلة: تعرض بروتوكول DeFi ResupplyFi لهجوم هاكرز وفقدت 9.6 مليون دولار، وانخفضت عملة مستقرة الأصلية reUSD إلى 0.969 دولار. حذرت المحفظة الباردة Trezor: هاكرز يتظاهرون برسائل رسمية لشن هجمات تصيد، لا تشارك المفتاح الخاص لمحفظتك. "هل تم اختراق بطاقة يويوب بواسطة طالب ثانوي عبقري؟ خبراء الأمن السيبراني: ثغرة MIFARE Classic تم الكشف عنها منذ 15 عامًا!" تم نشر هذه المقالة لأول مرة في BlockTempo "BlockTempo - أكثر وسائل الإعلام تأثيرًا في أخبار البلوكتشين."