悠遊卡 - 吳東霖

悠遊卡遭破解 加值免付錢 駭客吳東霖入侵修改程式

吳東霖 - 竄改悠遊卡 資安工程師吳東霖落網


吳東霖愛玩電腦 中學就具駭客能力

悠遊卡遭「駭」四關卡破兩道 沒前科網管師吳東霖  為挑戰得手39元


悠遊卡 - 悠遊卡遭破解 加值免付錢 - 駭客入侵修改程式


發行量超過一千六百萬張、號稱「絕對不可能被破解」的台北悠遊卡,不敗神話破滅!悠遊卡公司發現儲值加密系統遭駭客破解,成功修改儲值程式後,不需要到特定商店付錢即可自行加值,已知至少有三張悠遊卡被駭客加值,並在市面上消費,由於加值金額等同現金,市長郝龍斌獲悉大驚,指示台北市警局徹查,據悉警方已鎖定一名具有駭客背景的男子涉案,全力偵辦中。


 

悠遊卡 - 吳東霖



警鎖定涉案工程師

專案小組掌握,這名在台北某科技公司擔任電腦工程師的男子,涉嫌用電腦入侵加值系統,竄改悠遊卡程式,再利用設定好的加值機器,自行將悠遊卡加值到九九九九元。

今年四月起,在悠遊卡公司整合推廣下,原本僅用於交通付費的悠遊卡,儲值上限一萬元,成為全台唯一非銀行機構發行儲值卡,能跨足交通與小額消費市場領域,包括四大超商、上萬家特約商店均可適用消費,儲值在悠遊卡內的數位金額與現金無異。

在此前提下,加值系統可說是悠遊卡最重要的保密防範措施,悠遊卡公司對此信心十足,曾向全民強調「安全性絕無疑慮」。

言猶在耳,結果目前市面上流通的悠遊卡,竟出現未經合法指定特約商加值程序的「自行加值悠遊卡」,每次儲值金額都是九九九九元,悠遊卡公司獲悉後過濾,確認至少已有三張自行加值成功。

每次加值到九九九九

經追查,悠遊卡被自行加值之後,都有拿到市面消費,而且使用到金額不足時又自行加值到九九九九元。

加值系統遭破解,令悠遊卡公司高層駭然,為免引發社會震動,火速向市長郝龍斌專案報告,據悉郝龍斌得知後心情沉重,親自指示悠遊卡公司與市警局合組專案小組追查。目前警方已取得相關涉案資料,日內會展開偵辦作為。

悠遊卡晶片儲值遭破解,在國外已有所聞,二○○九年十月台北市議員周威佑、吳思瑤曾公布影片,表示同系統mifare的歐美儲值卡遭破解,可能遭複製與任意加值,引發金融秩序大亂,當時悠遊卡公司指影片早已流傳,但各國類似晶片卡都沒遭複製,悠遊卡有其他加密保護機制,請外界不必擔心。

當時周威佑、吳思瑤質疑,悠遊卡採用恩智浦半導體公司的mifare classic智慧卡,全球超過十億張卡片使用相同的加密系統crypto1,除了台北悠遊卡、高雄一卡通,還有荷蘭阿姆斯特丹 (OV-Chipkaart)、英國倫敦(Oyster Card牡蠣卡)、美國波士頓(CharlieCard查理卡)、中國北京 (一卡通)、南韓(U pass)、巴西里約熱內盧(RioCard)、西班牙馬德里(Sube-T)、澳洲布里斯本、新德里、曼谷等。

然而已有荷蘭Radboud大學學生將悠遊卡破解,美國麻省理工學院學生也破解波士頓地鐵「查理卡」,甚至更改儲值金額到六五五.三六美元,英國倫敦學院團隊也曾破解倫敦地鐵「牡蠣卡」,約兩百英鎊成本就能製造偽卡。中國去年底也曾有工程師破解北京市「一卡通」系統密碼,非法儲值消費。

當年悠遊卡公司表示,沒有國家的智慧卡系統被攻擊,也許晶片被破解,但無卡片被複製,各國各公司都有安全控制系統,像獨門藥方一樣很難破解,悠遊卡使用的安全等級也超過被破解的系統。

from: http://www.libertytimes.com.tw/2011/new/sep/27/today-t1.htm


吳東霖愛玩電腦 中學就具駭客能力


悠遊卡破解者吳東霖年僅廿四歲,連科大一年級都沒讀完的年輕人,一退伍就被負責資安防護的「敦陽科技」所延攬,專責防護網站漏洞,不但是知名駭客,也是資安專家。

還不及秀成果 就被逮

吳東霖落網後坦承,他前兩天才在公司向工作團隊炫耀:「我破解悠遊卡了!」同事也同感亢奮,但還來不及秀給大家看,廿三日就被逮了。

吳東霖向警方表示,他在國、高中時期就曾寫出一個木馬程式,放在網路上供人免費下載使用,結果被人惡意濫用,還被國安局人員找上門詢問。

吳東霖曾於民國九十四年間在桃園縣龍華科技大學機械系讀書,但只上了一學期就休學,學務長王延年表示,吳東霖在學校時功課不好,只有「計算機概論」拿滿分,其他科目則是滿江紅,由於休學後沒有辦理復學程序,目前吳東霖學籍已被取消。


吳東霖自豪地向檢方提到,他熱愛駭客工作,工作之餘,在家也是拚命踹各機關、各家網站,「幾乎是我想試,就會成功」,但他堅持只侵入、沒破壞、沒惡搞、沒偷資料,只將歷程記錄下來與同好分享。

吳東霖告訴檢警,他經常發現某些網站的防護功能爛得離譜,簡直是不設防,他實在看不下去,就會忍不住免費義務幫忙補強,並刻意留下「到此一遊」的施工斧鑿再退出,讓網站工程師事後去發現;言談間對自己的功力非常驕傲、有自信。

任職團隊專找網路漏洞

檢警指出,吳東霖任職的敦陽科技,是專門幫企業尋找網路漏洞的股票上市公司,經由企業簽約授權,駭客團隊即全力駭入「踹(TRY)」網站,鎮日以「踹破」網站為職志,達成駭客任務後,再將漏洞報告客戶,並為客戶修補 。

吳東霖因擁有國際駭客證照,清雲科大去年還曾請他做資訊安全專題演講,去年燦坤發生疑似個資外洩事件,吳東霖也以專家身分受訪,提出補強防護的專業意見。

敦陽科技行政主管說,他們公司有六百多人,公司並不能知道每個人平常在做什麼。....自由電子報 2011/09/28 

 

 

 

 


 

悠遊卡遭「駭」四關卡破兩道 沒前科網管師 為挑戰得手39元 讀卡機改金額 捷運將推新卡

一名大學肆業的工程師,竟然把發行2600萬張, 號稱絕對不會被破解的悠遊卡入侵竄改善! 一名24歲的工程師,竄改了三張悠遊卡並分別將金額儲值到九千元, 聲稱只為了嘗試新的金融攻擊法。

悠遊卡公司表示,嫌犯企圖竄改第1張的加值系統時就已經被發現,但為了將他繩之以法,才故意讓他成功開兩卡消費,再報警抓人!最後只得手三十九元!

穿黑衣男子就是侵入悠遊卡程式的駭客! 這時的他還在悠哉購物,沒料到悠遊卡公司早就鎖定他。

沒打草驚蛇,就是想收集罪證然後通知警方逮人。

24歲的駭客是工程師,更是駭客協會成員,為了挑戰悠遊卡公司程式無法破解的神話,特地從國外買了悠遊卡軟體,修改程式不斷演算,再改造線圈,成功竄改卡片餘額,把三張悠遊卡加值到九千元使用, 卻也觸動悠遊卡公司安全系統, 四道關卡吳姓工程師,使用第一張卡片時就被擋下,另外兩張則是在悠遊卡公司刻意安排下,闖過了第二關密碼多樣化和防衛驗證碼,但最後一關,後台已經發覺異常,前後消費共六次,消費金額608元。

聲稱網路沒被駭, 對既有的四道防護有信心,但未來打算推出第二代晶片卡來因應,駭客嫌犯雖然詐騙金額只有39元,不過,竄改電子票證,最重可處10年以下徒刑併科2億元的罰金,聰明反被聰明誤。

from: http://www.ttv.com.tw/100/09/1000927/10009274924605L.htm



吳東霖 - 竄改悠遊卡 資安工程師吳東霖落網


發行逾2600萬張的悠遊卡,首次遭「破解」。某科技公司資安工程師吳東霖,利用讀卡機竄改悠遊卡餘額,在台北市內湖區一家超商進行扣款交易,經悠遊卡安全防護系統偵察,共攔截吳使用的3張異常交易票卡,配合超商錄影監視設備,交叉比對出吳嫌影像及相關使用紀錄,將相關證據轉交台北市刑大偵辦,並逮捕吳嫌。


悠遊卡公司總經理鄭有欽(中)、董事長劉奕成(左)上午與台北市警刑大人員共同說明竄改悠遊卡餘額消費案件。



 


悠遊卡公司表示,9月10日悠遊卡票卡安全防護系統主動發現,台北市內湖區某超商有一筆票卡資料,在沒有付錢的狀況下,企圖增加可用餘額,由於此為首例,為避免打草驚蛇,持續觀察並追蹤該卡片使用狀況,掌握充足證據後,並取得超商相關監視錄影畫面,鎖定錄影畫面中一名黑衣男子疑似為問題票卡使用人,立即向台北市刑大及主管機關陳報事發經過,並提供相關證據供檢警循線追查。


悠遊卡公司說明,嫌犯企圖竄改3張票卡,全數被公司掌握攔截,其中第一張竄改的悠遊卡,使用時被前台設備直接攔截無法使用,另二張使用被察覺後,遊卡公司為了追蹤嫌犯是否為集團性,以及暫時沒有鎖卡,共交易6次,用了608元,但這2張票卡原本儲值金額有569元,嫌犯合計盜用39元即遭逮捕。


悠遊卡公司上午由董事長劉一成、總經理鄭有欽上午共同召開記者會強調,嫌犯吳東霖是企圖竄改自身持有的3張悠遊卡餘額,並非入侵加值系統,亦非複製他人儲值卡,悠遊卡公司有信心保證,在重重防護機制把關下,可以確保持卡人的權益不會受影響。
【2011/09/27 聯合晚報】


影片: 悠遊卡儲值遭竄改 警逮26歲駭客


發卡超過兩千七百萬張的台北捷運悠遊卡,爆發遭駭客破解竄改儲值金額。一名駭客竄改了三張悠遊卡,自行將金額儲值到九千元,由於嫌犯竄改第一張卡片時,已經遭悠遊卡公司鎖定,悠遊卡公司等了幾天讓嫌犯交易、蒐集證據後,市刑大在上週五逮捕這名才二十多歲的電腦駭客。 2011-09-27黃奕群、劉筱祺/台北報導


 

 

 


影片: 悠遊卡 - 絕不被破解? 悠遊卡防盜關卡險破功

過去號稱「絕對不可能被破解的」台北悠遊卡,這次傳出遭到竄改加值,但悠遊卡公司出面強調,嫌犯只是針對卡片進行竄改,對加值系統的安全性並沒有造成影響,悠遊卡公司表示,內部有四層防盜關卡,層層把關,要成功闖關並不容易,但有了這次的經驗,未來推出的2代悠遊卡,將會在防盜功能上再加強。 2011-09-27 黃奕群、劉筱祺/台北報導

 

 

arrow
arrow

    Flora 發表在 痞客邦 留言(0) 人氣()