Kartu pintar kereta bawah tanah India rentan terhadap kesalahan ‘pengisian gratis’ •

Berita17 Views

Kesalahan kartu pintar memungkinkan siapa pun naik metro secara gratis

Blok Cepat India Sistem transportasi – atau metro, seperti yang dikenal secara lokal – mengandalkan kartu pintar penumpang yang rentan terhadap eksploitasi dan memungkinkan siapa pun untuk bepergian secara efektif secara gratis.

peneliti keamanan Nikhil Kumar Singh Menemukan bug yang memengaruhi sistem kartu pintar Delhi Metro. Peneliti mengatakan kepada TechCrunch bahwa bug tersebut mengeksploitasi proses top-up yang memungkinkan siapa saja untuk mengisi ulang kartu pintar kereta metro sebanyak yang mereka inginkan.

Singh mengatakan kepada TechCrunch bahwa dia menemukan kesalahan setelah secara tidak sengaja mendapatkan isi ulang gratis di kartu pintar metronya menggunakan mesin bernilai tambah di stasiun metro Delhi.

Singh mengatakan kesalahannya ada, karena sistem pengisian ulang metro tidak memverifikasi pembayaran dengan benar ketika seorang pelancong mengkredit kartu pintar metronya menggunakan mesin nilai tambah untuk stasiun. Kurangnya cek, katanya, berarti kartu pintar dapat ditipu untuk percaya bahwa itu telah dikreditkan bahkan ketika mesin penambah nilai mengatakan pembelian telah gagal. Pembayaran dalam kasus ini ditandai sebagai tertunda, dan selanjutnya dikembalikan, memungkinkan seseorang untuk naik metro secara efektif secara gratis.

“Saya mencobanya di sistem metro Delhi dan bisa mendapatkan isi ulang gratis,” kata Singh kepada TechCrunch. “Saya masih harus memulai isi ulang dengan membayar dengan PhonePe atau Paytm, tetapi karena isi ulang masih tertunda, itu akan dikembalikan setelah 30 hari. Itu sebabnya secara teknis gratis.

Singh berbagi dengan TechCrunch bukti video konsep yang dia rekam pada bulan Februari yang menunjukkan bagaimana kartu pintar dapat diakali untuk menambah nilai pada kartu metro Delhi. Setelah pemahaman yang lebih baik tentang peneliti bug tiba dengan itu Ke Delhi Metro Rail Company (DMRC) keesokan harinya. Sebagai tanggapan, DMRC meminta Singh untuk membagikan detail kesalahan melalui email, yang dia lakukan, bersama dengan laporan teknis dan file log yang menunjukkan kesalahan dalam tindakan, yang telah dilihat oleh TechCrunch. Pada 16 Maret, Singh menerima tanggapan standar yang mengakui penerimaan emailnya, tetapi tidak menerima tanggapan lebih lanjut.

Baca juga :  Mantan manajer Theranos, Sunny Balwani, telah dijatuhi hukuman

Singh mengatakan kepada TechCrunch bahwa masalah yang belum diperbaiki ada pada kartu pintar itu sendiri. Delhi Metro didasarkan pada kartu pintar MiFare DESFire EV1 yang diproduksi oleh pembuat chip Belanda NXP. Sistem metro lainnya, termasuk Bengaluru, menggunakan sistem kartu pintar yang sama.

“Jika infrastruktur teknisnya sama di kereta metro pemerintah lainnya, bug ini juga akan berfungsi di sana,” kata Singh kepada TechCrunch.

Ini bukan pertama kalinya peneliti keamanan menemukan masalah dengan merek kartu pintar yang sama. Penelitian sebelumnya telah menemukan kerentanan serupa yang memengaruhi kartu pintar DESFire EV1 yang sama yang digunakan oleh Metro Delhi, serta sistem angkutan massal Eropa lainnya. Pada tahun 2020, MiFare memperkenalkan DESFire EV3 sebagai solusi contactless dengan keamanan yang lebih baik.

Singh menyarankan bahwa kesalahan kartu pintar dapat diperbaiki jika sistem metro dipindahkan ke kartu DESFire EV3.

Tiga juru bicara DMRC tidak menanggapi beberapa email yang meminta komentar. Saat diakses, juru bicara NXP (melalui agensi) tidak dapat memberikan komentar pada waktu pers. Bengaluru Metro Rail Corporation, badan yang bertanggung jawab untuk melayani metro di kota, juga tidak berkomentar.