Español
English

Print
YM
E-mail
Mai mare|Mai mic
Comentarii

Un expert IT a gasit o vulnerabilitate la cartelele de hartie RATB, putand calatori gratuit nelimitat

de Vlad Barza     HotNews.ro
Joi, 16 martie 2017, 11:25 Economie | IT

Troleibuz RATB
Troleibuz RATB
Foto: Hotnews
Un expert in securitate IT in varsta de 28 de ani a gasit o vulnerabilitate la cartelele de hartie vandute de RATB si, ajutandu-se de o aplicatie si un telefon cu Android, a facut modificari minime pe cartela, schimbari ce i-au permis sa calatoreasca gratuit, arata un reportaj difuzat de Digi FM. Intr-un interviu pentru HotNews.ro, Gabriel Cirlig a explicat ca a semnalat problema celor de la RATB si aceasta a fost remediata. "Am vrut sa trag un semnal de alarma despre cum sunt cheltuiti banii publici. Asta ma deranjeaza". UPDATE  RATB a trimis joi seara un comunicat in care ii multumeste lui Gabriel Cirlig si adauga ca acum sistemul automat de taxare este sigur si nu are vulnerabilitati

Cirlig a descoperit vulnerabilitatea acum cateva luni, studiind modul in care sunt stocate datele pe cartelele de hartie vandute de RATB si  denumite Mutiplu. Intial a incercat si cu cartele de plastic, dar sunt mai greu de citit cu diversele programe de tip NFC reader.

Simplificand la maxim lucrururile, Gabriel a citit cartela cu telefonul, a schimbat un numar pe ea, si a putut avea calatorii infinite.

Ca urmare, cand apropia cartela la aparatele montate in autobuz, nu se scadeau calatorii din "portofelul electronic". "In momentul in care aparatul din autobuz facea validarea cartelei, nu facea nimic inainte, ci incerca simultan sa iti valideze calatoria, practic sa-ti "capseze"  biletul si sa-ti scrie datele curente pe cartela. (...) Nu ar trebui facute in acelasi timp ambele actiuni. Sistemul ar trebui sa verifice mai intai daca este ok cartela si abia apoi sa incerce sa valideze".

Cirlig a descarcat o aplicatie gratuita de pe Google Play, iar manualul cartelelor este "la liber" pe internet, pe site-ul producatorului.

El a semnalat la RATB problema descoperita si a primit un e-mail de multumire, vulnerabilitatea fiind remediata.

Cititoarele electronice de carduri existente in vehiculele RATB au fost instalate in urma unei licitatii internationale castigate de UTI care a pus la dispozitie infrastructura necesara acestui sistem de taxare automata. Din 2011 s-au scos vechile bilete de hartie.

Contractul dintre UTI si RATB pentru sistemul automat de taxare a fost semnat in 2005, iar aplicatia soft a sistemului cardurilor comune RATB si Metrorex a fost dezvoltat in 2007.

UPDATE  RATB a trimis joi seara un comunicat in care ii multumeste lui Gabriel Cirlig si adauga ca acum sistemul automat de taxare este sigur si nu are vulnerabilitati

Referitor la articolul aparut astazi, 16 martie 2017,  in publicatia online Hotnews, sub titlul Un expert IT a gasit o vulnerabilitate la cartelele de hartie RATB, putand calatori gratuit nelimitat, Regia Autonoma de Transport Bucuresti (RATB) precizeaza urmatoarele:

Specialistul IT Gabriel Cirlig a descoperit vulnerabilitatea pentru cardurile de tip Multiplu la Sistemul Automat de Taxare gestionat de UTI si a anuntat RATB despre acest lucru in luna decembrie 2016, iar RATB a eliminat deindata aceasta vulnerabilitate.
In prezent, sistemul automat de taxare este sigur si nu prezinta vulnerabilitati.
RATB ii multumeste specialistului IT pentru buna-credinta si pentru spiritul civic pe care le-a dovedit.


Citeste mai multe despre   












CityPulse
Material sustinut de Siemens

"Comorile" detinute de primarii: cum pot fi folosite marile baze de date pentru a imbunatati serviciile oferite cetatenilor. Studiu de caz City Pulse

Brasovul si orasul Aarhus din Danemarca au luat parte timp de trei ani la un proiect inedit de cercetare - City Pulse, finantat de Uniunea Europeana. Pe scurt, scopul proiectului a fost sa colecteze si sa coreleze cat mai multe date despre cele doua orase, iar pe baza acestora primariile sau companiile sa dezvolte aplicatii gratuite care sa imbunatateasca serviciile oferite cetatenilor.

46514 vizualizari

  • +12 (28 voturi)    
    tovarasha Fi Rea a Numit la RATB (Joi, 16 martie 2017, 11:30)

    un domn [utilizator]

    ceva profesionisti..in ale ce ? in ale furaciunii ?
    • +11 (13 voturi)    
      . (Joi, 16 martie 2017, 14:21)

      adro [utilizator] i-a raspuns lui un domn

      Eu inteleg ca vulnerabilitea asta a fost dintotdeauna, sau cel putin de la introducerea cartelelor pe hartie. A fost remediata dupa ce RATB a luat cunostinta de ea. Si atunci ce vina are primarul actual? Sau, mai bine spus, care primar e mai vinovat?

      A... exista o problema cu acele numiri in conducere. De acord, iar asta cere o abordare si o critica mai inteligenta. As vrea sa fie clar ca nu vreau sa disculp "shmenurile" facute la primarie, ci doar sa spun ca critica trebuie facuta si ea cu cap, altfel critica insasi ajunge sa fie discreditata.

      E aiurea sa-i reprosezi iepurasului ca n-are sapca, in situatia in care uneori el umbla gol pusca...
      • +8 (14 voturi)    
        Mult zgomot pentru nimic (Joi, 16 martie 2017, 15:46)

        aqualung [utilizator] i-a raspuns lui adro

        E un lucru normal. Cineva a găsit un zero-day vulnerability, l-a raportat, iar dezvoltatorii și cei ce se ocupă cu mentenanța sistemului au răspuns imediat. Se întâmplă la orice casă mare.

        Este chiar de apreciat acțiunea din partea tuturor părților. Ce contează cine și când era primar, director etc. Chiar nu are rost scandalul pe tema asta.
  • -21 (59 voturi)    
    Jurnalistii lui peshte ... (Joi, 16 martie 2017, 11:41)

    Carcalete [utilizator]

    ... pai spuneti pana la capa cu subiect si predicat:
    - numele programului pe Android
    - producatorul cartelei


    Eventual inserati si un filmulet gen "how to ..."

    Semnat: un grup de calatori RATB posesori de Android
    • +23 (37 voturi)    
      Felicitări (Joi, 16 martie 2017, 11:52)

      Tescovin [utilizator] i-a raspuns lui Carcalete

      Vă asortați de minune cu hoții care devalizează bugetul RATB și al Primăriei. Evident, nu aveți aceleași posibilități ca ei, dar sunteți croit din fibra care trebuie.
      • +7 (19 voturi)    
        Ironie (Joi, 16 martie 2017, 13:29)

        gabone [utilizator] i-a raspuns lui Tescovin

        Pe bune? chiar nu intelegi o ironie/un umor negru?
        Sau eu sunt singurul care a luat comentariul in aceasta nota..
        • -3 (9 voturi)    
          Umor negru (Joi, 16 martie 2017, 15:00)

          Tescovin [utilizator] i-a raspuns lui gabone

          D-le Gabone, cred că abuzați cu grație de limitele semantice ale termenilor „ironie” și „umor negru”. Așa oricine poate să scoată orice porumbel pe gură (a se vedea, de exemplu, cazul psihopatului pesedist cu mitraliera) și apoi să pretindă că a fost „umor negru” și că suntem noi prea prostani ca să înțelegem finețuri de-astea.
          Judecând după câte minusuri și-a luat dl. Carcalete, se pare că într-adevăr sunteți, dacă nu singurul, în orice caz printre puținii.
          Numai bine !
          • +3 (7 voturi)    
            "inserați și un filmuleț cu how to ...” (Joi, 16 martie 2017, 15:58)

            Harald [utilizator] i-a raspuns lui Tescovin

            ar fi trebuit să te lămurească, era glumă.
          • +1 (5 voturi)    
            Dle. Tescovina (Joi, 16 martie 2017, 21:29)

            Incomod3 [utilizator] i-a raspuns lui Tescovin

            Abuzati cu gratie de limitele prostiei... pana si nepotul meu de 12 ani s-a prins ca era o ironie... apropo de analfabetii functionali care citesc si nu inteleg ce...
  • -22 (40 voturi)    
    ce fraier (Joi, 16 martie 2017, 12:01)

    xanti [utilizator]

    O sa il injure o Romanie intreaga.
    • +8 (14 voturi)    
      Ciordache esti sau ginerele lui ? (Joi, 16 martie 2017, 13:19)

      un domn [utilizator] i-a raspuns lui xanti

      fara alte comentarii
  • +37 (39 voturi)    
    Niste idioti la RATB (Joi, 16 martie 2017, 12:11)

    vladf [utilizator]

    1. Respectivul merita abonament pe viata la RATB

    2. Merita si un job part/time, consultanta
    • +11 (11 voturi)    
      Merita (Joi, 16 martie 2017, 14:21)

      ddanny [utilizator] i-a raspuns lui vladf

      Dar probabil nu vrea job-ul. Probabil n-a lucrat la stat niciodata si nici nu-si propune.
    • -2 (4 voturi)    
      :)) (Vineri, 17 martie 2017, 0:12)

      Zalmoxis [utilizator] i-a raspuns lui vladf

      ...prostia se plateste....
      ...acum va trebui sa-si plateasca biletul
  • +26 (28 voturi)    
    Chiar ma gandeam (Joi, 16 martie 2017, 12:30)

    Alfabetix [utilizator]

    cum de nu miștofilesc hackerii cartelele de metrou si de RATB, doar pe cele bancare.
    Oricum felicitari pentru bun simt si moralitate, aceste trasaturi care insotesc inteligenta mai rar zilele acestea!
    • +9 (9 voturi)    
      pentru ca (Joi, 16 martie 2017, 14:13)

      tartoru [utilizator] i-a raspuns lui Alfabetix

      hackerii nu merg cu RATB, au masini personale sigur :)
      • +5 (5 voturi)    
        Si chiar daca ar merge... (Joi, 16 martie 2017, 17:03)

        dinica [utilizator] i-a raspuns lui tartoru

        Acum vreo 45 de ani, am citit in Informatia Bucurestiului, despre un falsificator de bancnote care a fost prins de militieni.
        Cu uimire, au observat la cercetari, ca omul cheltuia vreo 300 de lei pentru o bancnota de 100.
        L-au intrebat, si a spus ca era bucuria lui sa cumpere cu bani facuti de el.
        Ce rost are riscul imens pentru doi euro pe zi?

        Pe de alta parte ma gandesc cat costa intretinerea sistemului de la RATB. Si cam cat aduce el pe zi.
        Poate e mai bine fara el, gratis.
  • +5 (9 voturi)    
    Banii publici (Joi, 16 martie 2017, 13:03)

    Un cititor [utilizator]

    sunt cheltuiți pe stadioane, teatre,deplasări în străinătate, conferințe , vaacinuri cu mercur, studii de fezabilitate, etc.
  • +12 (14 voturi)    
    cat a costat? (Joi, 16 martie 2017, 13:06)

    cosminbut [utilizator]

    ar fi interesant de aflat cati bani a incasat UTI pentru a livra un produs cu astfel de probleme.
    • +8 (8 voturi)    
      Ar fi interesant de aflat (Joi, 16 martie 2017, 14:32)

      midufi [utilizator] i-a raspuns lui cosminbut

      si cum a castigat UTI licitatia, dat fiind modul in care subcontracteaza ei totul...
      Aaa, da, era o gluma, stim cu totii cum castiga UTI toate contractele... chiar daca ofera produse proaste si scumpe.
  • +12 (16 voturi)    
    cardurile (Joi, 16 martie 2017, 13:22)

    boogiewoogie [utilizator]

    au inlocuit biletele de hartie, dar te pun sa platesti costul hartiei si al plasticului fara a iti returna contravaloarea acestora in calatorii.

    este nesimtire sa cer 2 calatorii si sa imi ceara mai mult decat contravaloarea acestora, fiindca tot eu, consumatorul, trebuie sa le achit si contravaloarea cartelei


    PS: @HotNews: ca tot vorbiti despre securitate IT, voi cand os a oferiti acces normal securizat/HTTPS?
    • 0 (8 voturi)    
      Cand le vei plati (Joi, 16 martie 2017, 14:27)

      Porcurorul General [utilizator] i-a raspuns lui boogiewoogie

      Costul certificatului digital TLS. :) Ca sa ti se raspunda cu aceeasi "moneda".
      • +6 (6 voturi)    
        B (Joi, 16 martie 2017, 15:27)

        stoenec1 [utilizator] i-a raspuns lui Porcurorul General

        Banii aia vin din reclame
      • +3 (3 voturi)    
        va vine sa credeti? (Joi, 16 martie 2017, 18:56)

        un revolutionar [utilizator] i-a raspuns lui Porcurorul General

        antena 3.ro este HTTPS!!! Aia isi aburesc fanii securizat ,,din stima, cu respect”! Pe cand noi ai HN?
    • +9 (11 voturi)    
      de ce https? (Joi, 16 martie 2017, 15:33)

      break_noon [utilizator] i-a raspuns lui boogiewoogie

      cu ce te ajuta https cand citesti stirile?
      vrei sa vezi lacatul verde in address bar si gata, e in regula?

      oricum, daca citesti hotnews, si cineva le sparge site-ul sau iti redirecteaza pagina spre o clona, ar trebui sa te prinzi repede, din continutul articolelor, se presupune ca esti mai inteligent decat "ai lor"
      • +1 (1 vot)    
        deoarece (Luni, 20 martie 2017, 10:58)

        boogiewoogie [utilizator] i-a raspuns lui break_noon

        o pagina de login ar trebui sa nu transmita datele in clar ... poate lucrez intr-o institutie publica si folosesc site-ul sa comentez ceva sau sa completez formularul de contact ...

        acel trafic poate fi capturat si altii imi afla parola sau ca i-am dat in gat

        in fine, nu vreau sa fac teoria SSL-ului aici, ar fi cazul ca un jurnalist (Vlad) de pe IT sa isi educe cititorii (nu ma refer la tine)...
        • 0 (0 voturi)    
          atentie (Miercuri, 22 martie 2017, 13:13)

          tudor1234 [utilizator] i-a raspuns lui boogiewoogie

          Ai grija ca institutia la care lucrezi poate oricand sa iti instaleze prin domeniu un certificat pe calc si sa supravegheze tot ce faci. Si majoritatea companiilor mari si fac chestia asta (nu stiu institutiile publice daca fac sau nu). Daca vrei sa fii whistle-blower fa-o de acasa si foloseste tor. Nu fii fraier, ca altfel o musti.


Abonare la comentarii cu RSS
Economie
Bănci
Finanţe
Companii
Burse
EuROfonduri
Auto
IT
Telecom
Energie
Media & Publicitate
20 de ani de internet .RO
Startup Cafe
Asigurari
Consumator
Cariere
Imobiliar
Acordul de liber schimb UE-SUA

Gadget



ESRI

ULTIMA ORA
11:56 Spania: Raiduri ale politiei la principalele departamente ale guvernarii catalane. 14 persoane, inclusiv un secretar de stat pentru economie, au fost arestate
11:45 Finantare de 80.000 de euro pentru un startup de marketing digital, de la fondul romanesc de investitii Fribourg Capital
11:25 ​VIDEO/FOTOGALERIE Romania uimitoare - In uriasul parc uscat din Ploiesti functioneaza o fantana arteziana, cu LED-uri si muzica de club
11:23 ​WTA Seul: Irina Begu, eliminata in turul doi de Beatriz Haddad Maia
11:22 Coduri portocaliu si galben de furtuni si ploi in aproape toata tara, pana joi. In cinci judete se vor inregistra ploi torentiale de 50-70 l/mp
11:21 Pororoca de Constantin Popescu, in competitia oficiala a Festivalului International de Film de la San Sebastian
11:15 Petre Daea: Ursul si capra neagra, o lauda a tarii, un peisaj mirific, o zona de respect fata de natura a omului, dar uneori ea inteapa interesul existential al fermierilor / E greu de vorbit despre biodiversitate... Patineaza mintea
10:53 Iasi: Politia il cauta pe soferul unei autocisterne cu lapte care a intrat intr-o casa si a fugit de la locul accidentului
10:44 Editia de toamna Gradina cu Artisti intre 23 - 24 septembrie, in Parcul Kiseleff
10:43 Primaria Sectorului 1 si Ministerul Sanatatii au semnat un protocol pentru relocarea Spitalului Floreasca
10:40 ​VIDEO Prim contact Volkswagen T-Roc si cu evolutia conceptului I.D. CROZZ, care va deveni primul SUV electric Volkswagen
10:38 VIDEO O noua lovitura pentru persoanele afectate de furtuna: asigurarea obligatorie nu ii va despagubi
10:30 Principalele cauze de deces in secolul XXI
10:26 Manafort vrea investigarea scurgerilor de informatii difuzate de CNN
Ultimele 24 de ore

Top 5 articole cele mai ...

​​INTERACTIV Cum au "disparut" 40 de metri din autostrada Transilvania: Gaura dintre lotul facut de Bechtel si restul autostrazii care se construieste acum spre Targu Mures
UPDATE Victor Ponta, audiat la DNA, in dosarul Tel Drum: Am fost chemat ca martor, am spus ceea ce stiam
Premierul Tudose, despre furtuna: Asta e. Ce sa facem? Sa dam o lege sa nu mai bata vantul?/ Intrebati-l pe Robu de ce a picat peste un om semnul cu "Bine ati venit la Timisoara", inaugurat de el
Bilantul actualizat al furtunii de duminica: 137 de persoane au fost ranite, iar opt au murit. 212 localitati din 15 judete, afectate de furtuni. Opt persoane sunt in continuare blocate in judetul Cluj
Actual de Cluj: Mirel Palada a participat in weekend la un seminar Aikido desfasurat la Cluj/ Presedintele Federatiei, zilele trecute: "Palada este o rusine pentru Aikido-ul din Romania"


Hotnews
Despre noi:
Site
Forum
MyHotNews
Redacţie
Contact
Publicitate
Agenţii de ştiri
Reuters
France Presse
Agerpres
Parteneri Media:
Euractiv
Mediaindex
RFI
Deutsche Welle
Parteneri:
GTS
Medlife
Tremend
Startech
Esri Romania


Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version

Termeni si conditii de utilizare ©Copyright 2006 - 2015 Hotnews.ro. Toate drepturile rezervate HN3
Contactează-ne