Sari la conținut

O breșă de securitate a permis călătorii nelimitate la RATB

Un expert în securitate IT în vârstă de 28 de ani a găsit o vulnerabilitate la cartelele de hârtie vândute de RATB şi, ajutându-se de o aplicaţie şi un telefon cu Android, a făcut modificări minime pe cartelă, schimbări ce i-au permis să călătorească gratuit, arată un reportaj difuzat de Digi FM.

card multiplu

Ştefan Cârlig: „M-am dus la un chioşc şi am zis: <Bună ziua! Vreau şi eu patru cartele cu câte două călătorii fiecare. > Le-am luat. Am făcut diverse modificări pe fiecare. Până la urmă unul dintre ele a mers validat de vreo 20 de ori. Asta e şmecheria. După ce am observat eu că nu mai merg cardurile pe care le făcusem eu, am primit un mail de la ei. Un mail în care mi-au spus că deja au reparat vulnerabilitatea. M-au felicitat pentru spiritul civic pe care l-am avut”

Cârlig a descoperit vulnerabilitatea acum câteva luni, studiind modul în care sunt stocate datele pe cartelele de hârtie vândute de RATB şi denumite Mutiplu. Intial a încercat şi cu cartele de plastic, dar sunt mai greu de citit cu diversele programe de tip NFC reader, potrivit Hotnews.ro.

Simplificând la maxim lucrururile, Gabriel a citit cartelă cu telefonul, a schimbat un număr pe ea, şi a putut avea călătorii infinite.

Ca urmare, când apropia cartela la aparatele montate în autobuz, nu se scădeau călătorii din "portofelul electronic". "În momentul în care aparatul din autobuz făcea validarea cartelei, nu făcea nimic înainte, ci încercă simultan să îţi valideze călătoria, practic să-ţi "capseze" biletul şi să-ţi scrie datele curente pe cartela. (...) Nu ar trebui făcute în acelaşi timp ambele acţiuni. Sistemul ar trebui să verifice mai întâi dacă este ok cartela şi abia apoi să încerce să valideze".

Cârlig a descărcat o aplicaţie gratuită de pe Google Play, iar manualul cartelelor este "la liber" pe internet, pe site-ul producătorului.

El a semnalat la RATB problema descoperită şi a primit un e-mail de mulţumire, vulnerabilitatea fiind remediată.

Cititoarele electronice de carduri existente în vehiculele RATB au fost instalate în urma unei licitaţii internaţionale câştigate de UTI care a pus la dispoziţie infrastructura necesară acestui sistem de taxare automată. Din 2011 s-au scos vechile bilete de hârtie.

Contractul dintre UTI şi RATB pentru sistemul automat de taxare a fost semnat în 2005, iar aplicaţia soft a sistemului cardurilor comune RATB şi Metrorex a fost dezvoltat în 2007.

FOTO: INQUAM PHOTOS