Wiadomości

Bloger-hacker vs. Mennica, czyli czy można się włamać do biletomatów UrbanCard?

2011-05-18, Autor: Bartłomiej Knapik
Audyt wszystkich automatów funkcjonujących w ramach systemu Wrocławskiej Karty Miejskiej – UrbanCard oraz zawiadomienie do prokuratury to efekt wpisu na blogu, którego autor twierdzi, że udało mu się skutecznie włamać do biletomatu. Jeśli wpis jest prawdziwy (na załączonym filmie nie ma na to jednoznacznego dowodu) – to oznacza, że cracker mógłby ściągnąć program do sczytywania danych z kart kredytowych – i okradać użytkowników UrbanCard.

Reklama

O tym, że autor Ruby Blog twierdzi, że wykonał skuteczny atak na biletomat Mennicy Polskiej, pisał "Wrocław z Wyboru." W swoim wpisie poinformował, że udało mu się przełamać systemy zabezpieczeń maszyny i korzystając z uprawnień administratora miał dostęp do logów w biletomacie i połączył się z siecią. Częścią wpisu jest filmik z YouTube, na którym pokazuje co znalazł.

To jednak jeszcze nie dowód, że udało się złamać zabezpieczenia - mimo że na filmiku bloger pokazuje, co da się zrobić będąc administratorem systemu, to nie ma tam dowodu, że faktycznie uzyskał nieuprzywilejowany i pełny dostęp do maszyny. W tym przypadku różnica jest kluczowa, bo jeśli np. technik zostawił włączony panel – to jest to zwykła nieostrożność. Jednak, jeśli system zabezpieczeń biletomatów da się złamać, to teoretycznie można ściągnąć na niego dowolny program – choćby sczytujący dane z kart kredytowych.



Przedstawiciele Mennicy Polskiej, operatora systemu UrbanCard utrzymują, że zabezpieczenia są wystarczające – choć zarządzili audyt biletomatów, a także zawiadomili prokuratutę o podejrzeniu popełnienia przestępstwa.
Oto pełna treść oświadczenia Mennicy:
„W związku z pojawiającymi się informacjami dotyczącymi zabezpieczenia automatów stacjonarnych Mennica Polska S.A. informuje, iż wszystkie urządzenia wchodzące w skład systemu Wrocławskiej Karty Miejskiej - URBANCARD posiadają, stosowane w tego typu systemach, zabezpieczenia przed nieautoryzowanym dostępem.

Jednocześnie informujemy, iż w celu zapewnienia maksymalnego poziomu bezpieczeństwa transakcji w automatach nie są przechowywane żadne dane wrażliwe, w szczególności dane osobowe jak i dane poszczególnych kart płatniczych.

Pragniemy zapewnić iż przetwarzanie informacji wrażliwych odbywa się z zachowaniem rygorystycznych wymogów przepisów prawa polskiego oraz regulacji organizacji płatniczych.

Pomimo to, w celu wyjaśnienia zaistniałej sytuacji Mennica Polska S.A. przeprowadza audyt wszystkich automatów funkcjonujących w ramach systemu Wrocławskiej Karty Miejskiej -URBANCARD, ponadto o całym zdarzeniu poinformujemy prokuraturę.”

Na koniec jeszcze jedna informacja – system biletomatów stacjonarnych i tych w autobusach i tramwajach się różni, co oznacza, że są systemy w mobilnych urządzeniach powinny być bezpieczniejsze.

Poniżej filmik z Ruby Blog:

Oceń publikację: + 1 + 1 - 1 - 0

Obserwuj nasz serwis na:

Komentarze (8):
  • ~ 2011-05-18
    14:57:11

    1 1

    To, że technik zostawił konsolę to jest tak samo niebezpieczne jakby się ktoś włamał. W obu przypadkach można zrobić dokładnie to samo.

  • ~ 2011-05-18
    16:11:56

    0 0

    @Tomasz, tak, ale wtedy ten bloger nie odpowiada za włamanie, tylko pracownik dyscyplinarnie.

  • ~ 2011-05-18
    16:21:39

    1 0

    Znaleźć filmik i zrobić z niego wielką aferę... Nie ma to jak "profesjonalne" dziennikarstwo i "dziennikarze" nie potrafiący rozróżnić hackera od crackera... żal

  • ~ 2011-05-18
    20:34:09

    1 0

    I tak bym się na jego miescu bronił ;)

  • ~ 2011-05-18
    22:30:25

    0 0

    Panie Bartłomieju - co znaczy "zczytać"??? Nie znalazłem takiego słowa w Słowniku języka polskiego PWN. Czy edytor tekstu nie podkreślił tego słowa na czerwono???

  • ~ 2011-05-18
    23:18:24

    1 0

    sczytać, przez "s" - http://www.sjp.pl/co/sczyta%E6

  • ~ 2011-05-19
    06:58:39

    0 0

    powinni mu zaplacic za to ze ujawnil ta dziure, watpie zeby wykradl dane, w wiekszosci przypadkow zeby cos zrobic na takim automacie wystarczy odpowiednio "pomacac" dotykowy ekran i tyle, duze firmy czesto sa zaudafe i pewne swego a okazuje sie ze zabezpieczenia leza i kwicza i tak bylo tutaj, a biedny chlopak teraz bedzie mial prokurature na karku

  • ~lol 2013-01-15
    13:00:13

    0 0

    rudy-blog.pl już zdjęta. Niech żyje wolność słowa! :-D Służby bezpieczeństwa już sprzątają.

Zamieszczone komentarze są prywatnymi opiniami Użytkowników portalu. Redakcja portalu www.tuwroclaw.com nie ponosi odpowiedzialności za ich treść.