Карту «Тройка» взломали, получив возможность бесплатно пополнять баланс
Пользователь «Хабрахабра» Игорь Шевцов сообщил о найденной уязвимости в своей статье, где подробно рассказал, как осуществлялся взлом. И даже создал приложение для смартфонов на Android с NFC, позволяющее легко эксплуатировать уязвимость.
Всего на исследование уязвимости у Игоря ушло пятнадцать дней. При этом оказалось, что для этого даже не нужны специальные технические средства или использование физических систем транспортной инфраструктуры.
Больше всего времени заняло изучение структуры данных в памяти карты. Это оказалось возможным из-за того, что данные хранятся в незашифрованном виде. В случае, если бы данные в памяти карты были зашифрованы, вероятнее всего, потребовалось бы физическое проникновение в системы, работающие с картой, что делает атаку существенно сложнее.Итогом исследования стало написание приложения TroikaDumper, позволяющее легко эксплуатировать уязвимости в системе карты Тройка, имея смартфон с поддержкой функции NFC. Приложение просто в использовании и может быть использовано массово.Для исправления найденных уязвимостей необходимо усовершенствование формата хранения данных в памяти карты и обновление программного обеспечения всех систем, работающих с картой.— Игорь Шевцов
В Дептрансе говорят, что об уязвимости ещё ничего неизвестно.
21К открытий21К показов
В этой статье мы поговорим о том, как обеспечить безопасность вашего телеграм-бота на Python, чтобы избежать спама, фишинга и DDoS-атак.
На платформе доступны новые инструменты, ускоряющие разработку, реализован чат в GigaCode, а пользоваться GitVerse теперь может малый и средний бизнес.
Президент России Владимир Путин подписал законопроект, который запрещает регистрацию на сайтах через иностранную электронную почту.
Рассказали, через какие этапы стоит пройти, чтобы эффективно выполнить миграцию сервиса на облако, подготовили план и протестировали нагрузку.