“一卡通”的使用在我国城市区域已经 非常普及,在我国的380余个城市启动了“一卡通” 应用,根据发卡记录估计使用“一卡通”的人数超过2亿,已经有三个特大城市“一卡通”的发卡突破2000万张。一卡通对我们日常生活的影响越来越广泛。
但是,近期连续发生了三起与“一卡通”有关的安全事件:
1、9月份案发的奇虎公司两名网络工程师利用专业知识 破解了4张北京市政“一卡通”内芯片的系统密码,之后恶意充值,并多次刷卡消费。
根据检方指控,2010年12月下旬,奇虎公司杨某研究发现北京市市政“一卡通”充值系统存在漏洞,便用自己的“一卡通”试手,在成功地破解了 卡内芯片带 有的 系统密码后,杨某发现卡 上金额可以随便改 动。2010年12月下旬至今年3月24日,杨某在奇虎公司内,分别往自己及宋某、张某(两人另案处理)的3 张市政“一卡通”内非 法 充值1600余元,为林某的“一卡通”充值1000余元。之后,杨某、林某便多次伙同宋某、张某等人去饭店等场所刷卡消费1700 余元。今年3月,“一卡通”公司发现有些卡出现了不是在指定充值点充值的交易记录,而且每次充值的金额都比较大,便怀疑卡被恶意充值,于是报警。警方接报 后,立即连同“一卡通”公司追踪了几张嫌疑卡的消费记录,很快锁定了嫌疑人,并于2011年3月25日将杨某等人抓获归案。从此次事件的过程来分析,这是 一起类似于黑客的入侵行为,首先是案犯发现了“一卡通”充值系统的漏洞,并破解了“一卡通”芯片密码,然后实行了充值。后因“一卡通”公司发现非指定地点 较大额度充值才被怀疑并发现,案犯从作案到案发,期间经过了近半年时间。目前嫌犯杨某及其同事林某因盗窃罪分别被法院判处拘役6个月及5个月,缓 刑5个月;
如果我们作一个假定,案犯通过黑客行为篡改充值地点,并在“一卡通”公司允许的额 度内充值,是不是就有可能不被发现呢,从该案的发生与破案过程来看,完全有这种可能,因此,这就提醒我们的“一卡通”系统管理单位,有必要确立更加严格的 防范机制并迅速对一卡通使用的异常行为做出反应,才能更有效保障“一卡通”应用的安全。并且我们可以发现,如果出现问题,受到伤害最大的是“一卡通”管理 单位。
2、台湾某科技公司资讯安全工程师吴某,利用读卡机篡改悠游卡余额,在台北市内湖区一家超市进行扣款交易,后经悠游卡安全防护系统侦察,共拦截 吴使用的3张异常交易票卡,配合超市录影监视设备,交叉比对出吴嫌影像及相关使用纪录,将相关证据转交台北市刑大侦办,并最终逮捕吴某;
台湾优游卡安全事件,是案犯通过私买读卡器进行篡改卡片金额,这实际上是在网络上叫卖的修改卡片数值读卡器的一个翻版,不过也从侧面提醒我们的“一卡通” 管理单位,及时的升级芯片卡是多么的重要,好在目前最新的CPU卡片已基本解决了M1卡片的安全问题。
3、今年10月份,北京市政“一卡通”被指不安全泄露用户位置信息,质疑网友发消息称,只需要将北京市政一卡通卡号输入“一卡通”官方网站上,用户的消费信息就会一览无 余。并称这种现象和手机窃听一样,对用户的信息安全构成威胁。通过登陆“一卡通”官方网站查询发现,暴露的信息主要包括用户的消费时间,消费金额,卡内余 额,乘客换乘的车次以及上下站车站等。
对于,该问题在网上对此评论明显分为两派,一派支持,另一派认为大惊小怪。不过,笔者认为我们的“一卡通”管理单位最好 还是采取审慎的态度,不要急于撇开问题,也要正视质疑的声音,毕竟我们网上“一卡通”数据库可以查到每一张卡片的运动轨迹,就像公安机关可以根据卡片信息 锁定嫌疑持卡人一样,同样的信息若是被犯罪分子加以利用仍可以给持卡者带来一定的安全威胁。虽然目前的“一卡通”采用无记名方式,但是并不能排除卡号一旦 泄露的漏洞。因此“一卡通”公司暂时关闭相关查询或许是明智的举动。
目前这三件事情基本有了结果,前两件事以涉案犯最终归案而结束,第三件事以一卡通网站暂停公布“一卡通”查询数据库而告终。
行业新闻
“一卡通”安全问题亟待加强
-