Bloger-hacker vs. Mennica, czyli czy można się włamać do biletomatów UrbanCard?

O tym, że autor Ruby Blog twierdzi, że wykonał skuteczny atak na biletomat Mennicy Polskiej, pisał "Wrocław z Wyboru." W swoim wpisie poinformował, że udało mu się przełamać systemy zabezpieczeń maszyny i korzystając z uprawnień administratora miał dostęp do logów w biletomacie i połączył się z siecią. Częścią wpisu jest filmik z YouTube, na którym pokazuje co znalazł.

To jednak jeszcze nie dowód, że udało się złamać zabezpieczenia - mimo że na filmiku bloger pokazuje, co da się zrobić będąc administratorem systemu, to nie ma tam dowodu, że faktycznie uzyskał nieuprzywilejowany i pełny dostęp do maszyny. W tym przypadku różnica jest kluczowa, bo jeśli np. technik zostawił włączony panel – to jest to zwykła nieostrożność. Jednak, jeśli system zabezpieczeń biletomatów da się złamać, to teoretycznie można ściągnąć na niego dowolny program – choćby sczytujący dane z kart kredytowych.



Przedstawiciele Mennicy Polskiej, operatora systemu UrbanCard utrzymują, że zabezpieczenia są wystarczające – choć zarządzili audyt biletomatów, a także zawiadomili prokuratutę o podejrzeniu popełnienia przestępstwa.
Oto pełna treść oświadczenia Mennicy:
„W związku z pojawiającymi się informacjami dotyczącymi zabezpieczenia automatów stacjonarnych Mennica Polska S.A. informuje, iż wszystkie urządzenia wchodzące w skład systemu Wrocławskiej Karty Miejskiej - URBANCARD posiadają, stosowane w tego typu systemach, zabezpieczenia przed nieautoryzowanym dostępem.

Jednocześnie informujemy, iż w celu zapewnienia maksymalnego poziomu bezpieczeństwa transakcji w automatach nie są przechowywane żadne dane wrażliwe, w szczególności dane osobowe jak i dane poszczególnych kart płatniczych.

Pragniemy zapewnić iż przetwarzanie informacji wrażliwych odbywa się z zachowaniem rygorystycznych wymogów przepisów prawa polskiego oraz regulacji organizacji płatniczych.

Pomimo to, w celu wyjaśnienia zaistniałej sytuacji Mennica Polska S.A. przeprowadza audyt wszystkich automatów funkcjonujących w ramach systemu Wrocławskiej Karty Miejskiej -URBANCARD, ponadto o całym zdarzeniu poinformujemy prokuraturę.”

Na koniec jeszcze jedna informacja – system biletomatów stacjonarnych i tych w autobusach i tramwajach się różni, co oznacza, że są systemy w mobilnych urządzeniach powinny być bezpieczniejsze.

Poniżej filmik z Ruby Blog: