分类: 黑客事件

真实案例!恶意黑客利用物联网设备成功入侵电网

安全内参11月25日消息,微软近期发布一份报告,揭示了使用已停止维护软件的物联网设备面临的风险。从最新案例来看,已经有黑客利用软件中的漏洞攻击能源组织。 本周二,微软研究人员在一份分析报告中透露,他们在Boa Web Server软件中发现了一个易受攻击的开源组件,被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包(SDK)。 尽管Boa Web Server在2005年就已停止更新,但它仍被广泛应用,并由此掀起一轮新的危机。由于Boa已经内置到物联网设备供应链的复杂构建方式,防御方其实很难缓解这一安全缺陷。 微软报告称,恶意黑客试图利用Boa Web Server的多个漏洞,包括一个高危级别的信息泄露漏洞(CVE-2021-33558)和一个任意文件访问漏洞(CVE-2017-9833)。未经身份验证的攻击者可以利用这些漏洞获取用户凭证,并远程执行代码。 “影响该组件的两个漏洞,可以让恶意黑客在发起攻击之前就收集到关于目标网络资产的信息,并获取有效凭证以访问更多未被检测到的网络。在关键基础设施网络中,恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起,黑客方就能引发更大影响,甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软表示。 微软最初发现这个易受攻击的组件,是在调查一起针对印度电网的入侵事件中。此前,美国威胁情报公司Recorded Future曾在2021年发布报告,详细介绍某个国家威胁组织正在将攻击矛头指向印度电网内的运营资产。 2022年4月,Recorded Future又发布一份报告,介绍了另一个国家支持的恶意黑客团伙。报告称,该团伙利用物联网设备在用于监视/控制物理工业系统的运营技术(OT)网络上开辟登陆点。 在此之后,微软在一周内在全球范围内发现了上百万个暴露在互联网上的Boa服务器组件。可以预见,这个易受攻击的组件很可能给整个世界带来巨大威胁。 另一个重要问题在于,由于经常被整合在流行的SDK当中,所以很多用户根本不确定自己的产品中是否存在Boa Web Server。比如Realtek SDK,这款软件开发工具包在路由器、接入点及其他网关设备制造商中得到广泛使用,而它正好包含Boa Web服务器。 由于持续观察到针对Boa漏洞的攻击,微软决定就广泛使用的各网络组件的安全缺陷发布供应链风险警报。 转自 安全内参,原文链接:https://www.secrss.com/articles/49412 封面来源于网络,如有侵权请联系删除

Bahamut 黑客利用虚假 VPN 应用程序攻击 Android 用户

Hackernews 编译,转载请注明出处: 被称为Bahamut的网络间谍组织被认为是一场针对性很强的活动的幕后黑手,该活动利用旨在提取敏感信息的恶意应用程序感染Android设备用户。 斯洛伐克网络安全公司ESET在与《黑客新闻》分享的一份新报告中表示,该活动自2022年1月以来一直处于活跃状态,需要通过一个为此目的而设立的虚假SecureVPN网站分发恶意VPN应用程序。 迄今为止,已经发现了至少8种不同版本的间谍软件应用程序,它们都是合法VPN应用程序的木马版本,如SoftVPN和OpenVPN。 被篡改的应用程序及其更新是通过欺诈网站推送给用户的。人们还怀疑目标是精心挑选的,因为启动应用程序需要受害者输入激活密钥来启用功能。 这意味着使用了一种不确定的传播向量,尽管过去的证据表明,它可以采取鱼叉式网络钓鱼电子邮件、短信或社交媒体应用程序上的直接消息的形式。 激活密钥机制还被设计成与参与者控制的服务器通信,有效地防止恶意软件在非目标用户设备上启动后被意外触发。 Bahamut在2017年被Bellingcat揭露,它是一个黑客雇佣行动,目标是政府官员、人权组织和南亚和中东的其他知名实体,他们使用恶意的Android和iOS应用程序监视受害者。 黑莓在2020年10月指出:“黑莓发现的Bahamut商业技巧中,最显著的一点可能是该集团使用了精心制作的原创网站、应用程序和人物角色。” 今年早些时候,Cyble详细介绍了该组织策划的两组网络钓鱼攻击,目的是推广伪装成聊天应用的假冒Android应用。 最新一波浪潮遵循着类似的轨迹,诱使用户安装看似无害的VPN应用程序,这些应用程序可以窃取大量信息,包括文件、联系人列表、短信、电话录音、位置,以及来自WhatsApp、Facebook Messenger、Signal、Viber、Telegram和微信的消息。 ESET研究人员Lukášštefanko表示:“数据泄露是通过恶意软件的键盘记录功能完成的,它滥用了可访问性服务。” 有迹象表明,该行动得到了很好的维护,在转移到OpenVPN之前,黑客最初将恶意代码打包在SoftVPN应用程序中,这一转变的原因是实际的SoftVPN应用程序停止了工作,无法再建立VPN连接。 Štefanko补充道:“Bahamut APT集团运营的移动营销活动仍然活跃;它使用的方法与过去一样,通过冒充或伪装成合法服务的网站分发其Android间谍软件应用程序。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

欧盟宣布俄罗斯为恐怖主义国家之后,欧洲议会网站被黑

11月23日,在欧盟宣布俄罗斯为恐怖主义国家之后,欧洲议会网站遭到亲俄黑客组织KillNet发起的DDoS网络攻击。目前该网站仍处于瘫痪状态。 欧洲议会主席也证实了这一事件,称“这是一次高水平的外部攻击,议会的IT专家正在反击并保护我们的系统”。 早有预谋 11月23日通过欧洲议会决议,正式认定俄罗斯为恐怖主义国家。议会成员以494票赞成,58票反对,44票弃权的结果通过了该决议。 在立法机构宣布俄罗斯为恐怖主义国家仅几小时后,KillNet发动 DDoS 攻击,关闭了欧洲议会的网站。 欧洲议会呼吁欧盟对俄罗斯实施进一步制裁,在国际上孤立俄罗斯。包括在俄罗斯加入联合国安理会等国际组织和机构的问题上。同时还希望减少与俄罗斯的外交关系,将欧盟与俄罗斯官方代表的接触保持在最低限度,并禁止俄罗斯在欧盟的国家附属机构在世界范围内进行宣传。 报复性攻击频演 KillNet是少数几个公开受俄罗斯领导的网络犯罪集团之一。该组织的名字来自于一种可用于发动DDoS攻击的工具。自俄乌战争以来,KillNet一直在积极招募志愿者,经常将他们组织成不同的小分队,名称为 “Kratos”、”Rayd “和 “Zarya”,对西方国家进行DDoS攻击。 此前曾针对支持乌克兰的国家,如罗马尼亚和意大利,而其“子集团”Legion出于类似原因袭击了挪威和立陶宛的主要实体。 随着乌克兰战争进入新阶段,KillNet开启了新一轮的报复性网络攻击。 在波兰参议院一致投票承认俄罗斯为 “恐怖政权 “后,该组织于10月对波兰参议院网站进行了类似的DDoS攻击,该组织还攻击了几个巴尔干国家的其他政府网站。 美国作为俄罗斯主要军事对手及北约的实际领导者,KillNet 的目标范围也包括美国,同样用类似 DDoS 组织攻击了科罗拉多州、肯塔基州和密西西比州的政府网站。 包括几周前间歇性离线的洛杉矶国际机场 (LAX) 和美国大型空中交通枢纽哈茨菲尔德-杰克逊亚特兰大国际机场 (ATL)。 10 月初对美国财政部的发起攻击;关闭了CISA 受保护的关键基础设施信息管理系统网站等 根据追踪公开披露的数据,自2月俄乌战争开始以来,KillNet已经对亲乌克兰的国家发动了76次攻击。 美国联邦调查局表示 ,由亲俄黑客组织KillNet发起的 DDoS 攻击对其目标影响不大,因为他们攻击的是面向公众的基础设施,如网站,而不是实际服务,也仅仅导致有限的中断,并不能造成较大的影响。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350656.html 封面来源于网络,如有侵权请联系删除

伊朗黑客利用 Log4Shell 漏洞入侵美国联邦机构

美国联邦调查局和CISA在11月16日发布的联合公告中透露,一个未命名的伊朗支持的威胁组织入侵了美国联邦民事行政部门(FCEB)组织,以部署XMRig加密恶意软件。 攻击者使用针对Log4Shell (CVE-2021-44228) 远程代码执行漏洞的攻击方式,在入侵了未修补的 VMware Horizon 服务器后进而入侵美国联邦网络。 联合公告中写道:“在事件响应活动过程中,CISA确定网络威胁行为者利用未修补的VMware Horizon服务器中的Log4Shell漏洞,安装XMRig加密挖掘软件,横向移动到域控制器(DC),破坏凭据,然后在多个主机上植入Ngrok反向代理以保持持久性,” 这两个美国联邦机构还补充说:“所有尚未针对Log4Shell修补VMware系统的组织都应该假设他们已经遭到破坏,并建议他们开始在其网络中寻找恶意活动。” CISA也在六月份警告说:“VMware Horizon和Unified Access Gateway(UAG)服务器仍然受到多个威胁行为者的攻击,包括国家支持的黑客组织,使用Log4Shell漏洞开展攻击。” Log4Shell 可以被远程利用,以暴露在本地或 Internet 访问下的易受攻击的服务器为目标,在被破坏的网络之间横向移动,以访问存储敏感数据的内部系统。 国家黑客正在进行的Log4Shell利用 自从 2021 年 12 月披露后,多个威胁行为者几乎立即开始扫描和利用未修补的系统。 攻击者名单包括来自伊朗、朝鲜和土耳其的国家支持的黑客组织,以及与一些勒索软件团伙关系密切而闻名的访问经纪人。 根据此类情况,CISA建议拥有易受攻击的VMware服务器的组织做好他们已遭到破坏的假设并启动威胁搜寻活动。VMware也在一月份敦促客户尽快保护其VMware Horizon服务器免受Log4Shell攻击。 在今天的公告中,CISA和FBI更是进一步建议组织应用建议的缓解和防御措施,包括: 1、将受影响的 VMware Horizon 和统一接入网关 (UAG) 系统更新到最新版本。 2、最大程度地减少组织面向 Internet 的攻击面。 3、针对映射到 CSA 中 MITRE ATT&CK FOR ENTERPRISE 框架的威胁行为,执行、测试和验证组织的安全计划。 4、根据公告中所述的 ATT&CK 技术测试组织的现有安全控制。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/TAv7j9MctreutCUoog6Qmw 封面来源于网络,如有侵权请联系删除

俄罗斯背景的 LockBit 勒索软件运营商在加拿大被捕

当地时间11月10日,欧洲刑警组织宣布在加拿大安大略省逮捕了一名LockBit勒索软件运营商,该勒索软件与俄罗斯相关,经常针对全球关键基础设施组织和知名公司。 在欧洲刑警组织欧洲网络犯罪中心(EC3)、联邦调查局(FBI)和加拿大皇家骑警(RCMP)的协助下,法国国家宪兵队领导了一项调查,嫌疑人于上月在加拿大安大略省被捕,目前正在等待被引渡到美国。 欧洲刑警组织表示:“10月26日,世界上最多产的勒索软件运营商之一在加拿大安大略省被捕。嫌疑人是一名33岁的俄罗斯人,据信他部署了LockBit勒索软件,对世界各地的关键基础设施和大型工业集团实施攻击。” 执法人员还从嫌疑人家中缴获了8台电脑和32个外挂硬盘、两支枪支和价值40万欧元的加密货币。 这名LockBit运营商“是欧洲刑警组织的高价值目标之一,他参与了许多重大勒索软件案件”,他通常开出500万至7000万欧元的赎金要求。欧洲刑警组织补充到。 虽然欧洲刑警组织将嫌疑人描述为LockBit勒索软件的“运营商”,但他很可能只是该网络犯罪行动的一个附属机构,而不是主理者。此外,LockBit代表“LockBitSupp”昨天还在黑客论坛上发帖。 因参与LockBit勒索软件攻击被起诉 美国司法部在10日发布的新闻稿中称,嫌疑人名叫米哈伊尔·瓦西里耶夫,来自加拿大安大略省布拉德福德,拥有俄罗斯和加拿大双重国籍。 根据刑事起诉书,加拿大执法部门在2022年8月对他的住处进行搜查时,还发现了Tox与“LockBitSupp”交换的截图、关于如何部署LockBit的Linux/ESXi锁和恶意软件源代码的说明,以及“一张照片,显示了加拿大一名LockBit受害者员工的各种平台的用户名和密码,该受害者在2022年1月左右遭受了确认的LockBit攻击。” 瓦西里耶夫被指控共谋勒索攻击和故意破坏电脑。如果罪名成立,他将面临最高5年的监禁。 美国司法部副部长Lisa O. Monaco当天表示:“此次逮捕是对LockBit勒索软件集团两年半多的调查的结果,该勒索软件集团伤害了美国和世界各地的受害者。” 若干勒索软件运营者被捕 在此之前,2021年10月,FBI、法国警方和乌克兰国家警察在乌克兰开展了一项联合国际执法行动,在基辅逮捕了瓦西里耶夫的两名同伙。 欧洲刑警组织和乌克兰警方在公告中称嫌犯是一个顶级勒索软件团伙的成员,但欧洲刑警组织曾向媒体,出于行动原因,他们必须对该团伙的名字保密。 欧洲刑警组织表示:“两人是同一组织的成员,他们不仅专注于勒索赎金,还涉嫌清洗犯罪资金。” 去年,乌克兰警方还逮捕了据信是Clop和Egregor勒索软件行动成员的其他嫌疑人。 欧洲刑警组织还于2021年10月宣布,执法机构在乌克兰和瑞士逮捕了12名据信与LockerGoga、MegaCortex和Dharma勒索软件攻击有关的嫌疑人,这些攻击影响了71个国家的1800多名受害者。   转自 Freebuf,原文链接:https://www.freebuf.com/articles/network/349468.html 封面来源于网络,如有侵权请联系删除

微软透露:基于密码的黑客攻击在过去一年中增加了 74%

今天的网络犯罪分子使用一系列的方法来破坏系统,但最久经考验的方法仍然是最受欢迎的:窃取别人的密码。根据一份新的报告,每秒钟有近1000次基于密码的攻击,与去年相比增加了74%。这些数据来自微软的《2022年数字防御报告》,该报告分析了来自微软全球产品和服务生态系统的数万亿信号,以揭示全球网络威胁的规模。 黑客事件的数量从今年年初至今大幅增加,这主要是由于俄罗斯在2月份入侵乌克兰,以及由此引发的国家间的网络战争。但黑客仍然喜欢基于密码的攻击;微软估计,每分钟有921起这样的攻击发生。 暴力穷举仍然是未经授权访问密码系统的一种常见方法。NVIDIA的RTX 4090显卡的强大计算能力使得这类攻击更加有效(在特定情况下)。研究人员最近展示了Lovelace旗舰显卡产品如何在短短48分钟内循环完成一个八字密码的所有2000亿次尝试。 由于许多人在多个网站和服务中循环使用账户凭证,大规模数据泄露后在线泄露的密码是黑客的主要收获地。2012年发生的大规模LinkedIn漏洞被认为使黑客能够在2016年进入马克·扎克伯格的Twitter和Pinterest账户。 目标窃取密码的钓鱼式攻击仍然很猖獗。最近,犯罪分子一直试图利用Twitter的验证改革,通过钓鱼方式获取已验证账户的密码,甚至Steam用户也成为了目标。这种增长的部分原因是微软在Windows11 22H2更新中加入了增强的网络钓鱼保护。 微软写道,90%的黑客账户没有受到”强认证”的保护,”强认证”是指正在使用的单层保护,不包括多因素认证(MFA)。微软警告说,使用MFA的账户数量很低,甚至在管理员账户中也是如此,尽管这些额外的保护层并不能保证账户100%安全。 除了在有MFA的地方使用MFA之外,如果你想让黑客难以下手,通常的建议也适用:避免重复使用密码(考虑一个好的密码管理器),保持你的软件有最新的补丁,并避免那些仍然莫名其妙地流行的可怕的弱密码。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7163721733680136739/?log_from=a58aa5b672b16_1667974231947 封面来源于网络,如有侵权请联系删除

英国情报公司雇用大批印度黑客进行非法“调查”

“大多数英国私人调查公司都在雇用印度黑客。”28岁的印度“计算机专家”拉索尔告诉佯装成企业调查员的英国记者。拉索尔的工作就是从世界各地窃取机密。他已经入侵超过500个电子邮件账户,大部分是受企业客户的委托。 英国《星期日泰晤士报》6日披露了英国情报公司是如何雇用印度黑客对企业、记者和政治人物进行非法“调查”的。该报的两名记者创建了一家虚假的企业调查公司,谎称要雇用一名网络调查员帮助客户收集信息。他们找到了拉索尔,他在领英上毫不掩饰地称自己的技能是“入侵安卓系统”“手机监听”以及“电子邮件追踪渗透”。 拉索尔最简单的伎俩就是向受害者发送钓鱼邮件,邮件里是虚假的脸书登录页面。拉索尔称他能制作出极其逼真的登录页面,“他们会以为这个网站是真的,然后把密码‘告诉’我们”。 拉索尔曾卷入一桩著名的谋杀案。2017年12月,加拿大亿万富翁巴里·谢尔曼和妻子在自家泳池旁离奇死亡,案件轰动一时。不久后,拉索尔接到一名私家侦探的电话,让他入侵死者的电子邮件账户,拉索尔认为雇主可能是案件的嫌疑人之一。他未能破解死者的电子邮件,但紧接着客户又让他调查死者的堂弟温特,他向客户提供了温特及其家人的个人信息,客户称这些信息令他“印象深刻”。没有证据显示温特与此案有关,但他此前曾卷入一场长达十年的诉讼,试图让谢尔曼交出一大笔财产。这起谋杀案至今未被侦破。 拉索尔的业务在短短几年内取得迅猛发展,他在北美、罗马尼亚、比利时和瑞士都拥有客户。每入侵一个电子邮件账户,拉索尔会收取3000—20000美元的费用。拉索尔称,十多年来,英国公司一直在雇用印度黑客,他们大多是该行业两大巨头Appin和Belltrox的客户。Appin现已倒闭,但据称其秘密建立了别的黑客机构,客户遍布全球。Belltrox目前仍在运营,其领英档案上有数百份来自企业情报人员的背书。 《星期日泰晤士报》称,另一名印度黑客巴尔加瓦声称,他曾在印度政府的命令下,对土耳其、巴基斯坦、埃及和柬埔寨政府发动一系列网络攻击,目标通常是政府的秘密文件和档案。他的一名同事曾试图入侵加拿大政府的电脑系统。 有关印度黑客的信息爆出后,西方情报公司一片恐慌,因为很多情报公司都曾雇用印度黑客。对英国的情报公司而言,从一个遥远国家雇用黑客可以大大降低被捕或被起诉的风险,因为从英国进行黑客攻击是非法的,最高可判处十年监禁。印度也有类似的法律,但当地的黑客一点也不担心被发现。当被问及是否有黑客在印度被捕时,一名黑客笑着说:“一个都没有。” 转自 安全内参,原文链接:https://www.secrss.com/articles/48738 封面来源于网络,如有侵权请联系删除

5 万枚比特币、33.6 亿美元!犯下美国历史上最大加密货币盗窃案的黑客认罪

11月7日,美国司法部宣布对一名黑客定罪,其以非法手段窃取了超过50000枚比特币。执法部门缉获这些比特币时其价值超过33.6亿美元。这也是美国司法部历史上数额最大的加密货币缉获。 据悉,该黑客名为James Zhong,现年32岁。十年前的2012年9月,他实施了一项从暗网黑市“丝绸之路”骗取钱财的计划。 丝绸之路(Silk Road)是一个大约在2011年到2013年运营的暗网黑市,其被众多毒贩和其他非法供应商利用,向许多买家大量售卖毒品、枪支和其他非法商品和服务,并清洗其中流通的资金。2015年,丝绸之路的创始人Ross Ulbricht被陪审团一致定罪并被判处终身监禁。 James Zhong先是在隐藏自身身份的情况下创建了九个“丝绸之路”账户,但这些账户并非用于在“丝绸之路”上出售或购买任何物品或服务。James Zhong创建账户时只填写了所需的最低限度的信息,他创建这些账户其实另有目的。 James Zhong随后为所有这些账户都存进了200至2000比特币,但在存款之后,他立即利用“丝绸之路”提款处理系统的漏洞迅速进行了一系列提款。例如,2012年9月19日,James Zhong将500个比特币存入了丝绸之路钱包,紧接着他在一秒内连续执行了五次数额为500比特币的提款,净收益2000比特币。最夸张的一次,James Zhong在一个账户进行了一次存款和五十多次提款。James Zhong通过这种方式总共触发了140多笔交易,将大量比特币(约50000枚)转移到了其控制下的多个独立地址,以混淆比特币的来源并避免暴露。 2021年11月9日,执法部门申请得到James Zhong居所的搜查令,查获了大约 50676.17851897枚比特币,当时价值超过 33.6 亿美元(现值约10亿美元)。除此之外,执法部门还查获并没收了James Zhong的大量房地产股份、66.19万美元现金以及各种贵金属。该次缉获是美国司法部历史上最大的加密货币缉获,并且是该部门迄今为止的第二大金融缉获。 2022年11月4日星期五,James Zhong在美国地区法官Paul G. Gardephe面前认罪,承认在2012年9月从丝绸之路暗网市场非法获取超过50000个比特币,犯有一项电汇欺诈罪。该罪名最高刑期为20年监禁。 转自 安全内参,原文链接:https://www.secrss.com/articles/48770 封面来源于网络,如有侵权请联系删除

“Justice Blade” 黑客组织攻击沙特阿拉伯

Hackernews 编译,转载请注明出处: 自称“Justice Blade”的黑客组织公布了Smart Link BPO Solutions泄露的数据,该公司是一家外包IT供应商,与沙特阿拉伯王国和海湾合作委员会其他国家的主要企业和政府机构合作。 黑客声称窃取了大量数据,包括CRM记录、个人信息、电子邮件通信、合同和账户凭证。 当天,Justice Blade还建立了一个包含私人通信频道的Telegram帐户。从攻击者泄露的截屏和视频来看,该事件可能是由于有针对性的网络入侵影响了Active Directory内部应用程序和服务。 黑客还发布了该地区各公司之间的活动RDP会话和Office 365通信的截图,以及可能与FlyNas(航空公司)和SAMACares(由沙特阿拉伯中央银行管理的项目)有关的用户名单,其中包含超过10万条记录。 据Resecurity, Inc. (USA)称,由于企业和政府部门之间的重叠,保护财富500强主要公司的数据泄露可能成为该地区首批供应链网络安全事件之一。黑客可能会使用被盗数据来瞄准其他感兴趣的公司和个人。 Resecurity安全专家提到,之前在暗网和TOR网络中的各种地下市场中发现了属于Smart Link BPO Solutions的多个泄露凭据,“Justice Blade”可能利用这些凭据成功实施网络攻击。根据目前掌握的数据来看,11月2日左右,一家公司网站遭到破坏,并以“黑客和泄露”的方式进行。在此之前,10月30日,Metasploit Framework的活动可能被受害者公司检测到,该公司在入侵后由黑客部署。 根据泄露的公司员工之间的通信,属于员工的泄露账户很可能被用来进行攻击。 然而,没有证据表明这次攻击可能是出于经济动机,因为到目前为止还没有登记赎金要求。“Justice Blade”似乎是一个以沙特阿拉伯为目标的意识形态团体,在其网站上公布政府官员的照片以泄露数据。 Smart Link BPO Solutions是Al Khaleej培训和教育集团的一个业务部门。AL Khaleej集团在2012年福布斯中东地区上市,成为海湾合作委员会地区最强大的100家公司之一。 目前尚不清楚该事件是否与伊朗和沙特阿拉伯之间日益紧张的关系有关。据美联社(AP)报道,就在最近,沙特阿拉伯与美国官员分享了情报,表明伊朗可能正在为攻击沙特做准备。 据多名消息人士透露,执法部门和联邦监管机构正在调查该事件,以确定妥协的全部范围和最终影响。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

印度地铁智能卡被发现”免费充值”漏洞 黑客轻松零元充

印度的大众快速交通系统依赖通勤智能卡,而这些智能卡容易被利用,并允许任何人有效地免费旅行。安全研究员Nikhil Kumar Singh发现了一个影响德里地铁智能卡系统的漏洞。该研究人员表示,该漏洞利用了充值过程,允许任何人为地铁列车的智能卡充值,金额与次数不限。 Singh表示,他是在无意中使用德里地铁站的一个储值机为自己的地铁智能卡免费充值后发现这个漏洞的。 Singh说,这个错误的存在,是因为当旅客使用地铁站的储值机给他们的地铁智能卡充值时,地铁充值系统没有正确地验证付款。他说,缺乏检查意味着,即使储值机显示购买失败,智能卡也会被欺骗,以为它已经充值。在这种情况下,付款被标记为待定,随后被退回,使该人能够有效地免费乘坐地铁。 “我在德里地铁的系统上试了一下,能够获得免费的充值额度,”Singh表示。”我仍然需要通过使用PhonePe或Paytm支付来启动充值,但由于充值仍未完成,30天后会被退回。这就是为什么在技术上是免费的,”他说。 Singh分享了他在2月份录制的概念验证视频,展示了智能卡如何被骗到德里地铁卡上增值。在更好地了解该漏洞后,该研究人员在一天后联系了德里地铁公司(DMRC)。作为回应,DMRC要求Singh通过电子邮件分享该漏洞的细节,他这样做了,同时还提供了一份技术报告和演示该漏洞运行的日志文件。3月16日,Singh收到了一份模板式的回复,承认收到了他的邮件,但没有收到任何进一步的回复。 这个尚未修复的问题存在于智能卡本身。德里地铁依靠的是荷兰芯片制造商恩智浦半导体公司(NXP)生产的MiFare DESFire EV1智能卡。印度除了首都以外的其他地铁系统,包括班加罗尔,也使用同样的智能卡系统。如果其他州的地铁列车的技术基础设施是一样的,那么这个错误在那里也会起作用。 这不是安全研究人员第一次发现同一品牌的智能卡的问题。过去的研究发现类似的漏洞影响了德里地铁使用的相同的DESFire EV1智能卡,以及其他欧洲大众交通系统。2020年,MiFare推出了DESFire EV3作为其非接触式解决方案,具有更好的安全性。 Singh建议,如果地铁系统迁移到DESFire EV3卡,智能卡的错误可以得到修复。 DMRC的三位发言人没有回答多封寻求评论的电子邮件,恩智浦的发言人表示暂时无法提供评论。负责该市地铁服务的班加罗尔地铁公司也没有发表评论。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7161624205958578722/?log_from=39f4d88fc74f_1667544181155&wid=1667544282360 封面来源于网络,如有侵权请联系删除