Un expert IT a gasit o vulnerabilitate la cartelele de hartie RATB, putand calatori gratuit nelimitat

de Vlad Barza     HotNews.ro
Joi, 16 martie 2017, 11:25 Economie | IT

Troleibuz RATB
Foto: Hotnews
Un expert in securitate IT in varsta de 28 de ani a gasit o vulnerabilitate la cartelele de hartie vandute de RATB si, ajutandu-se de o aplicatie si un telefon cu Android, a facut modificari minime pe cartela, schimbari ce i-au permis sa calatoreasca gratuit, arata un reportaj difuzat de Digi FM. Intr-un interviu pentru HotNews.ro, Gabriel Cirlig a explicat ca a semnalat problema celor de la RATB si aceasta a fost remediata. "Am vrut sa trag un semnal de alarma despre cum sunt cheltuiti banii publici. Asta ma deranjeaza". UPDATE  RATB a trimis joi seara un comunicat in care ii multumeste lui Gabriel Cirlig si adauga ca acum sistemul automat de taxare este sigur si nu are vulnerabilitati

Cirlig a descoperit vulnerabilitatea acum cateva luni, studiind modul in care sunt stocate datele pe cartelele de hartie vandute de RATB si  denumite Mutiplu. Intial a incercat si cu cartele de plastic, dar sunt mai greu de citit cu diversele programe de tip NFC reader.

Simplificand la maxim lucrururile, Gabriel a citit cartela cu telefonul, a schimbat un numar pe ea, si a putut avea calatorii infinite.

Ca urmare, cand apropia cartela la aparatele montate in autobuz, nu se scadeau calatorii din "portofelul electronic". "In momentul in care aparatul din autobuz facea validarea cartelei, nu facea nimic inainte, ci incerca simultan sa iti valideze calatoria, practic sa-ti "capseze"  biletul si sa-ti scrie datele curente pe cartela. (...) Nu ar trebui facute in acelasi timp ambele actiuni. Sistemul ar trebui sa verifice mai intai daca este ok cartela si abia apoi sa incerce sa valideze".

Cirlig a descarcat o aplicatie gratuita de pe Google Play, iar manualul cartelelor este "la liber" pe internet, pe site-ul producatorului.

El a semnalat la RATB problema descoperita si a primit un e-mail de multumire, vulnerabilitatea fiind remediata.

Cititoarele electronice de carduri existente in vehiculele RATB au fost instalate in urma unei licitatii internationale castigate de UTI care a pus la dispozitie infrastructura necesara acestui sistem de taxare automata. Din 2011 s-au scos vechile bilete de hartie.

Contractul dintre UTI si RATB pentru sistemul automat de taxare a fost semnat in 2005, iar aplicatia soft a sistemului cardurilor comune RATB si Metrorex a fost dezvoltat in 2007.

UPDATE  RATB a trimis joi seara un comunicat in care ii multumeste lui Gabriel Cirlig si adauga ca acum sistemul automat de taxare este sigur si nu are vulnerabilitati


Referitor la articolul aparut astazi, 16 martie 2017,  in publicatia online Hotnews, sub titlul Un expert IT a gasit o vulnerabilitate la cartelele de hartie RATB, putand calatori gratuit nelimitat, Regia Autonoma de Transport Bucuresti (RATB) precizeaza urmatoarele:

Specialistul IT Gabriel Cirlig a descoperit vulnerabilitatea pentru cardurile de tip Multiplu la Sistemul Automat de Taxare gestionat de UTI si a anuntat RATB despre acest lucru in luna decembrie 2016, iar RATB a eliminat deindata aceasta vulnerabilitate.
In prezent, sistemul automat de taxare este sigur si nu prezinta vulnerabilitati.
RATB ii multumeste specialistului IT pentru buna-credinta si pentru spiritul civic pe care le-a dovedit.


Citeste mai multe despre   












Material sustinut de Banca Transilvania

Intreb BT: Credite pentru companii, sustinute cu garantii si fonduri ale grupului Bancii Europene de Investitii. Doi specialisti raspund intrebarilor antreprenorilor joi, de la ora 11:00

Care sunt conditiile de finantare pentru creditele sustinute cu garantii ale grupului Bancii Europene de Investitii? Care sunt programele de finantare, cu surse si garantii ale grupului Bancii Europene de Investitii, pe care le deruleaza in prezent Banca Transilvania? Care sunt avantajele si dezavantajele unor astfel de credite? Doi specialisti din cadrul BT Adrian Popa, analist business, si Nicolae Barbu, coordonator Birou Gestiune Programe Externe de Finantare raspund intrebarilor antreprenorilor pe tema creditelor sustinute cu garantii ale grupului Bancii Europene de Investitii, joi, 22 februarie 2018, incepand cu ora 11:00.

46949 vizualizari

  • +12 (28 voturi)    
    tovarasha Fi Rea a Numit la RATB (Joi, 16 martie 2017, 11:30)

    un domn [utilizator]

    ceva profesionisti..in ale ce ? in ale furaciunii ?
      #showComment
  • -21 (59 voturi)    
    Jurnalistii lui peshte ... (Joi, 16 martie 2017, 11:41)

    Carcalete [utilizator]

    ... pai spuneti pana la capa cu subiect si predicat:
    - numele programului pe Android
    - producatorul cartelei


    Eventual inserati si un filmulet gen "how to ..."

    Semnat: un grup de calatori RATB posesori de Android
      #showComment
  • -23 (41 voturi)    
    ce fraier (Joi, 16 martie 2017, 12:01)

    xanti [utilizator]

    O sa il injure o Romanie intreaga.
      #showComment
  • +37 (39 voturi)    
    Niste idioti la RATB (Joi, 16 martie 2017, 12:11)

    vladf [utilizator]

    1. Respectivul merita abonament pe viata la RATB

    2. Merita si un job part/time, consultanta
      #showComment#showComment
  • +27 (29 voturi)    
    Chiar ma gandeam (Joi, 16 martie 2017, 12:30)

    Alfabetix [utilizator]

    cum de nu miștofilesc hackerii cartelele de metrou si de RATB, doar pe cele bancare.
    Oricum felicitari pentru bun simt si moralitate, aceste trasaturi care insotesc inteligenta mai rar zilele acestea!
      #showComment
  • +6 (10 voturi)    
    Banii publici (Joi, 16 martie 2017, 13:03)

    Un cititor [utilizator]

    sunt cheltuiți pe stadioane, teatre,deplasări în străinătate, conferințe , vaacinuri cu mercur, studii de fezabilitate, etc.
  • +13 (15 voturi)    
    cat a costat? (Joi, 16 martie 2017, 13:06)

    cosminbut [utilizator]

    ar fi interesant de aflat cati bani a incasat UTI pentru a livra un produs cu astfel de probleme.
      #showComment
  • +13 (17 voturi)    
    cardurile (Joi, 16 martie 2017, 13:22)

    boogiewoogie [utilizator]

    au inlocuit biletele de hartie, dar te pun sa platesti costul hartiei si al plasticului fara a iti returna contravaloarea acestora in calatorii.

    este nesimtire sa cer 2 calatorii si sa imi ceara mai mult decat contravaloarea acestora, fiindca tot eu, consumatorul, trebuie sa le achit si contravaloarea cartelei


    PS: @HotNews: ca tot vorbiti despre securitate IT, voi cand os a oferiti acces normal securizat/HTTPS?
      #showComment#showComment
  • +1 (1 vot)    
    nu mai are vulnerabilitati cunoscute (Sâmbătă, 11 noiembrie 2017, 12:11)

    Razvan_M [utilizator]

    Orice sistem informatic are vulnerabilitati. Cel mai sigur sistem informatic este cel care este oprit si inchis intr-un spatiu foarte greu accesibil fizic.

    Sunt curios daca RATB a auzit de audit de securitate pentru sistemele sale informatice.


Abonare la comentarii cu RSS



ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Vineri