http://www.libertytimes.com.tw/2011/new/sep/27/today-t1.htm 悠游卡遭破解 加值免付钱 骇客入侵修改程式 〔记者蔡伟祺、邱绍雯／台北报导〕 发行量超过一千六百万张、号称「绝对不可能被破解」的台北悠游卡，不败神话破灭！ 悠游卡公司发现储值加密系统遭骇客破解，成功修改储值程式後，不需要到特定商店付 钱即可自行加值，已知至少有三张悠游卡被骇客加值，并在市面上消费，由於加值金额 等同现金，市长郝龙斌获悉大惊，指示台北市警局彻查，据悉警方已锁定一名具有骇客 背景的男子涉案，全力侦办中。 警锁定涉案工程师 专案小组掌握，这名在台北某科技公司担任电脑工程师的男子，涉嫌用电脑入侵加值系 统，窜改悠游卡程式，再利用设定好的加值机器，自行将悠游卡加值到九九九九元。 今年四月起，在悠游卡公司整合推广下，原本仅用於交通付费的悠游卡，储值上限一万 元，成为全台唯一非银行机构发行储值卡，能跨足交通与小额消费市场领域，包括四大 超商、上万家特约商店均可适用消费，储值在悠游卡内的数位金额与现金无异。 在此前提下，加值系统可说是悠游卡最重要的保密防范措施，悠游卡公司对此信心十足 ，曾向全民强调「安全性绝无疑虑」。 言犹在耳，结果目前市面上流通的悠游卡，竟出现未经合法指定特约商加值程序的「自 行加值悠游卡」，每次储值金额都是九九九九元，悠游卡公司获悉後过滤，确认至少已 有三张自行加值成功。 每次加值到九九九九 经追查，悠游卡被自行加值之後，都有拿到市面消费，而且使用到金额不足时又自行加 值到九九九九元。 加值系统遭破解，令悠游卡公司高层骇然，为免引发社会震动，火速向市长郝龙斌专案 报告，据悉郝龙斌得知後心情沉重，亲自指示悠游卡公司与市警局合组专案小组追查。 目前警方已取得相关涉案资料，日内会展开侦办作为。 悠游卡晶片储值遭破解，在国外已有所闻，二○○九年十月台北市议员周威佑、吴思瑶 曾公布影片，表示同系统mifare的欧美储值卡遭破解，可能遭复制与任意加值，引发金 融秩序大乱，当时悠游卡公司指影片早已流传，但各国类似晶片卡都没遭复制，悠游卡 有其他加密保护机制，请外界不必担心。 当时周威佑、吴思瑶质疑，悠游卡采用恩智浦半导体公司的mifare classic智慧卡，全 球超过十亿张卡片使用相同的加密系统crypto1，除了台北悠游卡、高雄一卡通，还有 荷兰阿姆斯特丹 （OV-Chipkaart）、英国伦敦（Oyster Card牡蛎卡）、美国波士顿 （CharlieCard查理卡）、中国北京 （一卡通）、南韩（U pass）、巴西里约热内卢 （RioCard）、西班牙马德里（Sube-T）、澳洲布里斯本、新德里、曼谷等。 然而已有荷兰Radboud大学学生将悠游卡破解，美国麻省理工学院学生也破解波士顿地 铁「查理卡」，甚至更改储值金额到六五五．三六美元，英国伦敦学院团队也曾破解伦 敦地铁「牡蛎卡」，约两百英镑成本就能制造伪卡。中国去年底也曾有工程师破解北京 市「一卡通」系统密码，非法储值消费。 当年悠游卡公司表示，没有国家的智慧卡系统被攻击，也许晶片被破解，但无卡片被复 制，各国各公司都有安全控制系统，像独门药方一样很难破解，悠游卡使用的安全等级 也超过被破解的系统。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.128.142.64