Một học sinh trung học 17 tuổi đã sử dụng đầu đọc NFC để giả mạo số dư của EasyCard, trả lại hơn 40 lần trong nửa năm, thu lợi bất hợp pháp gần 700.000 nhân dân tệ. Vụ việc đã đưa ra lỗ hổng MIFARE Classic, vốn đã không hoạt động trong nhiều năm, buộc các nhà chức trách và cộng đồng bảo mật phải kiểm tra lại các lỗ hổng bảo mật mà cơ sở hạ tầng thanh toán thông minh phải đối mặt. (Tóm tắt nội dung: Máy tính chống lượng tử Adam Back "bẻ khóa Bitcoin": nên tích hợp Taproot với SLH-DSA) (Bổ sung cơ bản: Shentu Qingchun: Tôi đã bẻ khóa ví Trezor 1350 BTC) Đài Loan gần đây đã tiết lộ rằng một học sinh trung học 17 tuổi bị đình chỉ sử dụng đầu đọc NFC để giả mạo số dư của thẻ Youyou, trả lại hơn 40 lần trong nửa năm, kiếm được lợi nhuận bất hợp pháp gần 700.000 nhân dân tệ. Sự cố này đã làm nổi bật lỗ hổng MIFARE Classic, vốn đã không hoạt động trong nhiều năm, và buộc các nhà chức trách và cộng đồng an ninh phải xem xét lại "các vấn đề cũ" của cơ sở hạ tầng thanh toán. MIFARE Classic từ lâu đã bị bẻ khóa Chuyên gia bảo mật thông tin Hu Li Huli đã nhìn thấy sự cố này và đăng rằng Zheng Zhenmou, giáo sư tại Khoa Kỹ thuật Điện tại NTU, đã chứng minh CRYPTO1 được sử dụng để bẻ khóa MIFARE Classic ngay từ năm 2010 HITCON và bài giảng của CCC "Chỉ cần đừng nói bạn đã nghe nó từ tôi: MIFARE cổ điển hoàn toàn bị hỏng" Thuật toán, cũng là thông số kỹ thuật được sử dụng bởi thẻ Youyou hiện tại, đã bị bẻ khóa hoàn toàn cách đây 15 năm. CRYPTO1 Các lỗ hổng mã hóa, tấn công kênh bên (SPA, DPA) và công cụ mã nguồn mở Proxmark3 tạo thành một "bộ ba" làm giảm đáng kể ngưỡng sao chép, giả mạo và sao chép các quy trình của Youyou Card. Chuyên gia Hu Li Huli chỉ ra: "Bản ghi giá trị gia tăng được lưu trữ ở phía máy chủ và số tiền cuối cùng sẽ được tìm thấy; Rủi ro thực sự là con chip quá dễ thay đổi, và chi phí phát hiện và thực thi pháp luật buộc phải được thuê ngoài cho cảnh sát." Nhìn lại trường hợp năm 2011 trong đó một nhà tư vấn an toàn thông tin họ Wu bẻ khóa thẻ Youyou và bị bắt trong quá trình tiêu thụ siêu thị, nhà tư vấn an toàn thông tin đã rút tiền trực tiếp thông qua tiêu dùng, và lần này học sinh trung học chuyển sang cơ chế hoàn tiền, "Vì công ty tàu điện ngầm không trực tiếp đăng ký thanh toán bằng thẻ Youyou sau khi hoàn tiền, nên sẽ có độ trễ thời gian ở giữa và nó sẽ không bị phát hiện ngay lập tức." Theo các báo cáo, có vẻ như phải mất vài tháng để nhận thấy sự bất thường trong quá trình hòa giải? Và lần này số tiền đầy, thực sự có hàng trăm nghìn." Nhưng về bản chất, đó là tất cả về việc sửa đổi thông tin ở phía thẻ. Hu Li Huli nói thêm: "Phiên bản mới của thẻ Youyou đã thay thế công nghệ cơ bản, nhưng miễn là thẻ cũ vẫn còn lưu hành trên thị trường, sẽ không thể loại bỏ hoàn toàn các sự cố tương tự. Nếu muốn giải quyết nó, bạn chỉ cần lấy lại tất cả các thẻ bài đã sử dụng hệ thống cũ và loại bỏ chúng, phải không?" Cuộc điều tra của cảnh sát phát hiện ra rằng học sinh trung học đã mua một đầu đọc NFC do Trung Quốc sản xuất trên Internet, thành thạo việc sửa đổi trường số tiền của thẻ trong chip thông qua việc tự học và liên tục ghi số tiền thẻ thành 1.000 nhân dân tệ, sau đó đến ga tàu điện ngầm để tháo quẹt, và toàn bộ quá trình chu kỳ đơn chỉ mất chưa đầy 3 phút. Vào cuối năm 2024, công ty đã phát hiện ra tình trạng bất thường thông qua việc đối chiếu văn phòng và bắt giữ sinh viên vào tháng Hai năm nay. Công ty cho biết đã củng cố logic giám sát, nhưng do vụ việc đã đi vào quá trình tư pháp nên hiện tại không thuận tiện để tiết lộ thêm chi tiết. Đọc thêm: "Bài báo: Cuộc tấn công chỉ bằng thẻ của Mifare Classic" "Thực hành bảo mật thông tin NFC – Khóa học xã hội thông tin Xingda" Báo cáo liên quan Giao thức DeFi ResupplyFi bị tấn công và mất 9,6 triệu đô la, và stablecoin gốc reUSD từng được giải neo xuống còn 0,969 đô la Ví lạnh Trezor cảnh báo: Tin tặc giả mạo công văn cho các cuộc tấn công lừa đảo, không chia sẻ khóa riêng tư ví ���Thẻ Youyou bị học sinh trung học tài năng bẻ khóa? Chuyên gia bảo mật: Lỗ hổng MIFARE Classic được công khai cách đây 15 năm! Bài viết này được xuất bản lần đầu tiên trong "Xu hướng động - Phương tiện tin tức Blockchain có ảnh hưởng nhất" của BlockTempo.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Thẻ EasyCard bị một học sinh trung học thiên tài hack? Chuyên gia an ninh mạng: Lỗ hổng MIFARE Classic đã được công bố cách đây 15 năm!
Một học sinh trung học 17 tuổi đã sử dụng đầu đọc NFC để giả mạo số dư của EasyCard, trả lại hơn 40 lần trong nửa năm, thu lợi bất hợp pháp gần 700.000 nhân dân tệ. Vụ việc đã đưa ra lỗ hổng MIFARE Classic, vốn đã không hoạt động trong nhiều năm, buộc các nhà chức trách và cộng đồng bảo mật phải kiểm tra lại các lỗ hổng bảo mật mà cơ sở hạ tầng thanh toán thông minh phải đối mặt. (Tóm tắt nội dung: Máy tính chống lượng tử Adam Back "bẻ khóa Bitcoin": nên tích hợp Taproot với SLH-DSA) (Bổ sung cơ bản: Shentu Qingchun: Tôi đã bẻ khóa ví Trezor 1350 BTC) Đài Loan gần đây đã tiết lộ rằng một học sinh trung học 17 tuổi bị đình chỉ sử dụng đầu đọc NFC để giả mạo số dư của thẻ Youyou, trả lại hơn 40 lần trong nửa năm, kiếm được lợi nhuận bất hợp pháp gần 700.000 nhân dân tệ. Sự cố này đã làm nổi bật lỗ hổng MIFARE Classic, vốn đã không hoạt động trong nhiều năm, và buộc các nhà chức trách và cộng đồng an ninh phải xem xét lại "các vấn đề cũ" của cơ sở hạ tầng thanh toán. MIFARE Classic từ lâu đã bị bẻ khóa Chuyên gia bảo mật thông tin Hu Li Huli đã nhìn thấy sự cố này và đăng rằng Zheng Zhenmou, giáo sư tại Khoa Kỹ thuật Điện tại NTU, đã chứng minh CRYPTO1 được sử dụng để bẻ khóa MIFARE Classic ngay từ năm 2010 HITCON và bài giảng của CCC "Chỉ cần đừng nói bạn đã nghe nó từ tôi: MIFARE cổ điển hoàn toàn bị hỏng" Thuật toán, cũng là thông số kỹ thuật được sử dụng bởi thẻ Youyou hiện tại, đã bị bẻ khóa hoàn toàn cách đây 15 năm. CRYPTO1 Các lỗ hổng mã hóa, tấn công kênh bên (SPA, DPA) và công cụ mã nguồn mở Proxmark3 tạo thành một "bộ ba" làm giảm đáng kể ngưỡng sao chép, giả mạo và sao chép các quy trình của Youyou Card. Chuyên gia Hu Li Huli chỉ ra: "Bản ghi giá trị gia tăng được lưu trữ ở phía máy chủ và số tiền cuối cùng sẽ được tìm thấy; Rủi ro thực sự là con chip quá dễ thay đổi, và chi phí phát hiện và thực thi pháp luật buộc phải được thuê ngoài cho cảnh sát." Nhìn lại trường hợp năm 2011 trong đó một nhà tư vấn an toàn thông tin họ Wu bẻ khóa thẻ Youyou và bị bắt trong quá trình tiêu thụ siêu thị, nhà tư vấn an toàn thông tin đã rút tiền trực tiếp thông qua tiêu dùng, và lần này học sinh trung học chuyển sang cơ chế hoàn tiền, "Vì công ty tàu điện ngầm không trực tiếp đăng ký thanh toán bằng thẻ Youyou sau khi hoàn tiền, nên sẽ có độ trễ thời gian ở giữa và nó sẽ không bị phát hiện ngay lập tức." Theo các báo cáo, có vẻ như phải mất vài tháng để nhận thấy sự bất thường trong quá trình hòa giải? Và lần này số tiền đầy, thực sự có hàng trăm nghìn." Nhưng về bản chất, đó là tất cả về việc sửa đổi thông tin ở phía thẻ. Hu Li Huli nói thêm: "Phiên bản mới của thẻ Youyou đã thay thế công nghệ cơ bản, nhưng miễn là thẻ cũ vẫn còn lưu hành trên thị trường, sẽ không thể loại bỏ hoàn toàn các sự cố tương tự. Nếu muốn giải quyết nó, bạn chỉ cần lấy lại tất cả các thẻ bài đã sử dụng hệ thống cũ và loại bỏ chúng, phải không?" Cuộc điều tra của cảnh sát phát hiện ra rằng học sinh trung học đã mua một đầu đọc NFC do Trung Quốc sản xuất trên Internet, thành thạo việc sửa đổi trường số tiền của thẻ trong chip thông qua việc tự học và liên tục ghi số tiền thẻ thành 1.000 nhân dân tệ, sau đó đến ga tàu điện ngầm để tháo quẹt, và toàn bộ quá trình chu kỳ đơn chỉ mất chưa đầy 3 phút. Vào cuối năm 2024, công ty đã phát hiện ra tình trạng bất thường thông qua việc đối chiếu văn phòng và bắt giữ sinh viên vào tháng Hai năm nay. Công ty cho biết đã củng cố logic giám sát, nhưng do vụ việc đã đi vào quá trình tư pháp nên hiện tại không thuận tiện để tiết lộ thêm chi tiết. Đọc thêm: "Bài báo: Cuộc tấn công chỉ bằng thẻ của Mifare Classic" "Thực hành bảo mật thông tin NFC – Khóa học xã hội thông tin Xingda" Báo cáo liên quan Giao thức DeFi ResupplyFi bị tấn công và mất 9,6 triệu đô la, và stablecoin gốc reUSD từng được giải neo xuống còn 0,969 đô la Ví lạnh Trezor cảnh báo: Tin tặc giả mạo công văn cho các cuộc tấn công lừa đảo, không chia sẻ khóa riêng tư ví ���Thẻ Youyou bị học sinh trung học tài năng bẻ khóa? Chuyên gia bảo mật: Lỗ hổng MIFARE Classic được công khai cách đây 15 năm! Bài viết này được xuất bản lần đầu tiên trong "Xu hướng động - Phương tiện tin tức Blockchain có ảnh hưởng nhất" của BlockTempo.