Пару дней назад некая группа под псевдонимом "Che Burashka" опубликовала информацию о взломе системы продажи билетов на электрички РЖД.
Если коротко - п***рахи из компании-подрядчика(Микротех), которая занимается поставкой, обслуживанием и разработкой всех терминалов, турникетов и прочего барахла для контроля у РЖД, а так же всего софта - абсолютные *******.
Для гуманитариев - штрихкод на каждом билете практически никак не шифруется, точнее шифруется, но с использованием крайне примитивной "контрольной суммы", которая в свою очередь генерируется на основе КЛЮЧА, который меняется раз в сутки и одинаков для всех платформ и турникетов.
Таким образом можно просто узнать ключ, просканировав выброшенный билет и сгенерировать билет в любом направлении, а затем распечатать его на принтере.
Кстати, самое смешное - Есть такая штука - ПКТФ - это переносной кассовый терминал, вы все наверняка с ними сталкивались, обычно с ними ходят бабки-контролеры. Так вот, в каждый ПКТФ, ежедневно, вручную, заливают новые КЛЮЧИ, с помощью подключения к ПК СПЕЦКАБЕЛЕМ, б**ть. Представляете какая о****ная и интересная у людей работа?
Но это еще не все - Во всем цивилизованном мире, если кто-то обнаружил уязвимость программы или системы, он связывается напрямую с разработчиками и предлагает свою помощь по устранению бага/эксплойта, раскрывая суть уязвимости. Разработчик благодарит человек, большинство компаний платят за такие вещи и весьма немало.
Однако, мы же в России живем - не так давно из-за аналогичной уязвимости карты "Тройка" п*****шка-СМИ обозвали "хакера", который помог найти уязвимость - жуликом, а некая сельска прокуратура даже потребовала убрать любые упоминания о взломе из интернета. И это все вместо спасибо.
Авторы потребовали признать наличие уязвимости и ее устранения - в противном случае они выложат приложение для считывания и генерации билета в открытый доступ.