Un expert IT a gasit o vulnerabilitate la cartelele de hartie RATB, putand calatori gratuit nelimitat
Cirlig a descoperit vulnerabilitatea acum cateva luni, studiind modul in care sunt stocate datele pe cartelele de hartie vandute de RATB si denumite Mutiplu. Intial a incercat si cu cartele de plastic, dar sunt mai greu de citit cu diversele programe de tip NFC reader.
Simplificand la maxim lucrururile, Gabriel a citit cartela cu telefonul, a schimbat un numar pe ea, si a putut avea calatorii infinite.
Ca urmare, cand apropia cartela la aparatele montate in autobuz, nu se scadeau calatorii din "portofelul electronic". "In momentul in care aparatul din autobuz facea validarea cartelei, nu facea nimic inainte, ci incerca simultan sa iti valideze calatoria, practic sa-ti "capseze" biletul si sa-ti scrie datele curente pe cartela. (...) Nu ar trebui facute in acelasi timp ambele actiuni. Sistemul ar trebui sa verifice mai intai daca este ok cartela si abia apoi sa incerce sa valideze".
Cirlig a descarcat o aplicatie gratuita de pe Google Play, iar manualul cartelelor este "la liber" pe internet, pe site-ul producatorului.
El a semnalat la RATB problema descoperita si a primit un e-mail de multumire, vulnerabilitatea fiind remediata.
Cititoarele electronice de carduri existente in vehiculele RATB au fost instalate in urma unei licitatii internationale castigate de UTI care a pus la dispozitie infrastructura necesara acestui sistem de taxare automata. Din 2011 s-au scos vechile bilete de hartie.
Contractul dintre UTI si RATB pentru sistemul automat de taxare a fost semnat in 2005, iar aplicatia soft a sistemului cardurilor comune RATB si Metrorex a fost dezvoltat in 2007.
UPDATE RATB a trimis joi seara un comunicat in care ii multumeste lui Gabriel Cirlig si adauga ca acum sistemul automat de taxare este sigur si nu are vulnerabilitati
Referitor la articolul aparut astazi, 16 martie 2017, in publicatia online Hotnews, sub titlul Un expert IT a gasit o vulnerabilitate la cartelele de hartie RATB, putand calatori gratuit nelimitat, Regia Autonoma de Transport Bucuresti (RATB) precizeaza urmatoarele:
Specialistul IT Gabriel Cirlig a descoperit vulnerabilitatea pentru cardurile de tip Multiplu la Sistemul Automat de Taxare gestionat de UTI si a anuntat RATB despre acest lucru in luna decembrie 2016, iar RATB a eliminat deindata aceasta vulnerabilitate.
In prezent, sistemul automat de taxare este sigur si nu prezinta vulnerabilitati.
RATB ii multumeste specialistului IT pentru buna-credinta si pentru spiritul civic pe care le-a dovedit.

FOTOGALERIE O frumoasă casă de lângă biserica Sfântul Iosif din București a fost pusă la pământ / Autorizația a fost dată în 2019 de Primăria Capitalei
Coronavirus în România: Aproape 4.000 de cazuri noi în ultima zi / 81 decese, 985 persoane în stare gravă
Primăria Capitalei a plătit circa 40 milioane lei pentru Asociațiile de Dezvoltare Intercomunitară înființate de administrația Firea pentru ”îmbunătățirea” serviciilor publice în București-Ilfov și delegarea lor către companiile municipale
În ce situații ar trebui ministrul să-și delege atribuțiile / Cîțu: Când nu poți să ajungi la ședința de Guvern / Orban: Nu e corect ca un ministru chiar să nu mai semneze
ANALIZĂ Cât de pline sunt parcările Primăriei Capitalei după creșterea tarifului la 10 lei/oră și ce cheltuieli cu salariile vs încasări a însemnat transferul serviciului la compania municipală
Noi reglementari ale ANRE pentru schimbarea furnizorului de energie: Consumatorii casnici vor trebui să comunice indexul / Ofertele trebuie să arate din ce este compus prețul
A... exista o problema cu acele numiri in conducere. De acord, iar asta cere o abordare si o critica mai inteligenta. As vrea sa fie clar ca nu vreau sa disculp "shmenurile" facute la primarie, ci doar sa spun ca critica trebuie facuta si ea cu cap, altfel critica insasi ajunge sa fie discreditata.
E aiurea sa-i reprosezi iepurasului ca n-are sapca, in situatia in care uneori el umbla gol pusca...
Este chiar de apreciat acțiunea din partea tuturor părților. Ce contează cine și când era primar, director etc. Chiar nu are rost scandalul pe tema asta.
- numele programului pe Android
- producatorul cartelei
Eventual inserati si un filmulet gen "how to ..."
Semnat: un grup de calatori RATB posesori de Android
Sau eu sunt singurul care a luat comentariul in aceasta nota..
Judecând după câte minusuri și-a luat dl. Carcalete, se pare că într-adevăr sunteți, dacă nu singurul, în orice caz printre puținii.
Numai bine !
2. Merita si un job part/time, consultanta
...acum va trebui sa-si plateasca biletul
Oricum felicitari pentru bun simt si moralitate, aceste trasaturi care insotesc inteligenta mai rar zilele acestea!
Cu uimire, au observat la cercetari, ca omul cheltuia vreo 300 de lei pentru o bancnota de 100.
L-au intrebat, si a spus ca era bucuria lui sa cumpere cu bani facuti de el.
Ce rost are riscul imens pentru doi euro pe zi?
Pe de alta parte ma gandesc cat costa intretinerea sistemului de la RATB. Si cam cat aduce el pe zi.
Poate e mai bine fara el, gratis.
Aaa, da, era o gluma, stim cu totii cum castiga UTI toate contractele... chiar daca ofera produse proaste si scumpe.
este nesimtire sa cer 2 calatorii si sa imi ceara mai mult decat contravaloarea acestora, fiindca tot eu, consumatorul, trebuie sa le achit si contravaloarea cartelei
PS: @HotNews: ca tot vorbiti despre securitate IT, voi cand os a oferiti acces normal securizat/HTTPS?
vrei sa vezi lacatul verde in address bar si gata, e in regula?
oricum, daca citesti hotnews, si cineva le sparge site-ul sau iti redirecteaza pagina spre o clona, ar trebui sa te prinzi repede, din continutul articolelor, se presupune ca esti mai inteligent decat "ai lor"
acel trafic poate fi capturat si altii imi afla parola sau ca i-am dat in gat
in fine, nu vreau sa fac teoria SSL-ului aici, ar fi cazul ca un jurnalist (Vlad) de pe IT sa isi educe cititorii (nu ma refer la tine)...