2011年9月27日

悠遊卡遭破解 加值免付錢

100.09.27 自由時報


駭客入侵修改程式

〔記者蔡偉祺、邱紹雯/臺北報導〕發行量超過一千六百萬張、號稱「絕對不可能被破解」的臺北悠遊卡,不敗神話破滅!悠遊卡公司發現儲值加密系統遭駭客破解,成功修改儲值程式後,不需要到特定商店付錢即可自行加值,已知至少有三張悠遊卡被駭客加值,並在市面上消費,由於加值金額等同現金,市長郝龍斌獲悉大驚,指示臺北市警局徹查,據悉警方已鎖定一名具有駭客背景的男子涉案,全力偵辦中。

警鎖定涉案工程師

專案小組掌握,這名在臺北某科技公司擔任電腦工程師的男子,涉嫌用電腦入侵加值系統,竄改悠遊卡程式,再利用設定好的加值機器,自行將悠遊卡加值到九九九九元。

今年四月起,在悠遊卡公司整合推廣下,原本僅用於交通付費的悠遊卡,儲值上限一萬元,成為全臺唯一非銀行機構發行儲值卡,能跨足交通與小額消費市場領域,包括四大超商、上萬家特約商店均可適用消費,儲值在悠遊卡內的數位金額與現金無異。

在此前提下,加值系統可說是悠遊卡最重要的保密防範措施,悠遊卡公司對此信心十足,曾向全民強調「安全性絕無疑慮」。

言猶在耳,結果目前市面上流通的悠遊卡,竟出現未經合法指定特約商加值程序的「自行加值悠遊卡」,每次儲值金額都是九九九九元,悠遊卡公司獲悉後過濾,確認至少已有三張自行加值成功。

每次加值到九九九九

經追查,悠遊卡被自行加值之後,都有拿到市面消費,而且使用到金額不足時又自行加值到九九九九元。

加值系統遭破解,令悠遊卡公司高層駭然,為免引發社會震動,火速向市長郝龍斌專案報告,據悉郝龍斌得知後心情沉重,親自指示悠遊卡公司與市警局合組專案小組追查。目前警方已取得相關涉案資料,日內會展開偵辦作為。

悠遊卡晶片儲值遭破解,在國外已有所聞,二○○九年十月臺北市議員周威佑、吳思瑤曾公布影片,表示同系統mifare的歐美儲值卡遭破解,可能遭複製與任意加值,引發金融秩序大亂,當時悠遊卡公司指影片早已流傳,但各國類似晶片卡都沒遭複製,悠遊卡有其他加密保護機制,請外界不必擔心。

當時周威佑、吳思瑤質疑,悠遊卡採用恩智浦半導體公司的mifare classic智慧卡,全球超過十億張卡片使用相同的加密系統crypto1,除了臺北悠遊卡、高雄一卡通,還有荷蘭阿姆斯特丹 (OV-Chipkaart)、英國倫敦(Oyster Card牡蠣卡)、美國波士頓(CharlieCard查理卡)、中國北京 (一卡通)、南韓(U pass)、巴西里約熱內盧(RioCard)、西班牙馬德里(Sube-T)、澳洲布里斯本、新德里、曼谷等。

然而已有荷蘭Radboud大學學生將悠遊卡破解,美國麻省理工學院學生也破解波士頓地鐵「查理卡」,甚至更改儲值金額到六五五.三六美元,英國倫敦學院團隊也曾破解倫敦地鐵「牡蠣卡」,約兩百英鎊成本就能製造偽卡。中國去年底也曾有工程師破解北京市「一卡通」系統密碼,非法儲值消費。

當年悠遊卡公司表示,沒有國家的智慧卡系統被攻擊,也許晶片被破解,但無卡片被複製,各國各公司都有安全控制系統,像獨門藥方一樣很難破解,悠遊卡使用的安全等級也超過被破解的系統。

沒有留言:

張貼留言