O breșă de securitate a permis călătorii nelimitate la RATB

Un expert în securitate IT în vârstă de 28 de ani a găsit o vulnerabilitate la cartelele de hârtie vândute de RATB şi, ajutându-se de o aplicaţie şi un telefon cu Android, a făcut modificări minime pe cartelă, schimbări ce i-au permis să călătorească gratuit, arată un reportaj difuzat de Digi FM.

Ştefan Cârlig: „M-am dus la un chioşc şi am zis: <Bună ziua! Vreau şi eu patru cartele cu câte două călătorii fiecare. > Le-am luat. Am făcut diverse modificări pe fiecare. Până la urmă unul dintre ele a mers validat de vreo 20 de ori. Asta e şmecheria. După ce am observat eu că nu mai merg cardurile pe care le făcusem eu, am primit un mail de la ei. Un mail în care mi-au spus că deja au reparat vulnerabilitatea. M-au felicitat pentru spiritul civic pe care l-am avut”

Digistoria – cele mai importante evenimente petrecute pe 19 aprilie

Cîrstoiu: Mandatul meu e pe masa coaliției

Panică în Paris după ce o persoană a amenințat că va arunca în aer consulatul iranian

Ambasadorul Israelului: Sancțiunile care vin spre Iran nu sunt suficiente. Trebuie să acționăm mai puternic pentru a preveni războiul

Adrian Cioroianu, despre atacul de vineri: Acest episod e închis, dar înfruntarea care există de zeci de ani va continua

Un avion de luptă s-a prăbușit în Rusia după ce a atacat cu rachete teritoriul ucrainean. Imagini cu aeronava cuprinsă de flăcări

Nicolae Ciucă, la Jurnalul de Seară

Un preot vrea să trimită fetele abuzate la închisoare

Kelemen: Nu e vorba de România când candidează Iohannis la NATO. Rutte e cel mai cinic politician din Europa

Cârlig a descoperit vulnerabilitatea acum câteva luni, studiind modul în care sunt stocate datele pe cartelele de hârtie vândute de RATB şi denumite Mutiplu. Intial a încercat şi cu cartele de plastic, dar sunt mai greu de citit cu diversele programe de tip NFC reader, potrivit Hotnews.ro.

Simplificând la maxim lucrururile, Gabriel a citit cartelă cu telefonul, a schimbat un număr pe ea, şi a putut avea călătorii infinite.

Ca urmare, când apropia cartela la aparatele montate în autobuz, nu se scădeau călătorii din "portofelul electronic". "În momentul în care aparatul din autobuz făcea validarea cartelei, nu făcea nimic înainte, ci încercă simultan să îţi valideze călătoria, practic să-ţi "capseze" biletul şi să-ţi scrie datele curente pe cartela. (...) Nu ar trebui făcute în acelaşi timp ambele acţiuni. Sistemul ar trebui să verifice mai întâi dacă este ok cartela şi abia apoi să încerce să valideze".

Cârlig a descărcat o aplicaţie gratuită de pe Google Play, iar manualul cartelelor este "la liber" pe internet, pe site-ul producătorului.

El a semnalat la RATB problema descoperită şi a primit un e-mail de mulţumire, vulnerabilitatea fiind remediată.

Cititoarele electronice de carduri existente în vehiculele RATB au fost instalate în urma unei licitaţii internaţionale câştigate de UTI care a pus la dispoziţie infrastructura necesară acestui sistem de taxare automată. Din 2011 s-au scos vechile bilete de hârtie.

Contractul dintre UTI şi RATB pentru sistemul automat de taxare a fost semnat în 2005, iar aplicaţia soft a sistemului cardurilor comune RATB şi Metrorex a fost dezvoltat în 2007.

FOTO: INQUAM PHOTOS