您现在的位置:融合网首页 > 物联网 > 其他 >

“一卡通”应用系统管理环节亟待加强安防(2)

来源:卡市场杂志 作者:佚名 责任编辑:admin 发表时间:2011-12-15 16:12 
核心提示:目前这三件事情基本有了结果,前两件事以涉案犯最终归案而结束,第三件事以一卡通网站暂停公布一卡通查询数据库而告终。虽然个体事件基本终结,但这些事件的影响却远未结束,第一个案件直接引发了工信部的介入调查

目前这三件事情基本有了结果,前两件事以涉案犯最终归案而结束,第三件事以一卡通网站暂停公布“一卡通”查询数据库而告终。虽然个体事件基本终结,但这些事件的影响却远未结束,第一个案件直接引发了工信部的介入调查,而围绕第三件事的网上讨论依旧没有停止。虽然这三起事件并没有引起严重的后果,但是却给我们“一卡通”管理单位提出了警示,那就是“一卡通”应用系统管理环节亟待加强安防。

类似的事件在去年10月份发生过一次,就是在青岛地区的窃取“一卡通”充值系统,该事件是盗窃分子盗取了公交公司的充值系统给自己的卡片充值,这说明随着“一卡通”应用的越来越广泛,针对“一卡通”犯罪的案件在进一步增加。鉴于此,笔者认为目前“一卡通”系统管理单位有必要加强“一卡通”系统的安全防范工作。

根据检方指控,2010年12月下旬,奇虎公司杨某研究发现北京市市政“一卡通”充值系统存在漏洞,便用自己的“一卡通”试手,在成功地破解了卡内芯片带有的系统密码后,杨某发现卡上金额可以随便改动。2010年12月下旬至今年3月24日,杨某在奇虎公司内,分别往自己及宋某、张某(两人另案处理)的3张市政“一卡通”内非法充值1600余元,为林某的“一卡通”充值1000余元。之后,杨某、林某便多次伙同宋某、张某等人去饭店等场所刷卡消费1700余元。今年3月,“一卡通”公司发现有些卡出现了不是在指定充值点充值的交易记录,而且每次充值的金额都比较大,便怀疑卡被恶意充值,于是报警。警方接报后,立即连同“一卡通”公司追踪了几张嫌疑卡的消费记录,很快锁定了嫌疑人,并于2011年3月25日将杨某等人抓获归案。从此次事件的过程来分析,这是一起类似于黑客的入侵行为,首先是案犯发现了“一卡通”充值系统的漏洞,并破解了“一卡通”芯片密码,然后实行了充值。后因“一卡通”公司发现非指定地点较大额度充值才被怀疑并发现,案犯从作案到案发,期间经过了近半年时间,如果我们作一个假定,案犯通过黑客行为篡改充值地点,并在“一卡通”公司允许的额度内充值,是不是就有可能不被发现呢,从该案的发生与破案过程来看,完全有这种可能,因此,这就提醒我们的“一卡通”系统管理单位,有必要确立更加严格的防范机制并迅速对一卡通使用的异常行为做出反应,才能更有效保障“一卡通”应用的安全。并且我们可以发现,如果出现问题,受到伤害最大的是“一卡通”管理单位。

台湾优游卡安全事件,是案犯通过私买读卡器进行篡改卡片金额,这实际上是在网络上叫卖的修改卡片数值读卡器的一个翻版,不过也从侧面提醒我们的“一卡通”管理单位,及时的升级芯片卡是多么的重要,好在目前最新的CPU卡片已基本解决了M1卡片的安全问题。

至于质疑北京市政“一卡通”的泄露隐私问题,虽然网上对此评论明显分为两派,一派支持,另一派认为大惊小怪。不过,笔者认为我们的“一卡通”管理单位最好还是采取审慎的态度,不要急于撇开问题,也要正视质疑的声音,毕竟我们网上“一卡通”数据库可以查到每一张卡片的运动轨迹,就像公安机关可以根据卡片信息锁定嫌疑持卡人一样,同样的信息若是被犯罪分子加以利用仍可以给持卡者带来一定的安全威胁。虽然目前的“一卡通”采用无记名方式,但是并不能排除卡号一旦泄露的漏洞。因此“一卡通”公司暂时关闭相关查询或许是明智的举动。

目前“一卡通”在我国的应用范围越来越广,并且全国互联互通渐成趋势,为了使“一卡通”能够更好的为人民服务,有关单位有必要加强“一卡通”系统的安全防范工作,以免给犯罪分子以可乘之机。虽然从整体上来看,我国的“一卡通”系统安全形式整体上还是比较安定的,但是随着“一卡通”在全国范围的更进一步推广,“一卡通”管理系统所面临的安全挑战也将越来越多,我们的相关单位只有加强安全管理,未雨筹缪才能真正的做到防患于未然,为公众创造一个更加安全的“一卡通”应用环境。

现在,在我国的380余个城市启动了“一卡通”应用,根据发卡记录估计使用“一卡通”的人数超过2亿,已经有三个特大城市“一卡通”的发卡突破2000万张。这说明“一卡通”的使用在我国城市区域已经非常普及,因此其所产生的影响也越来越广泛,但是近期却连续发生了三起与“一卡通”有关的安全事件。一是9月份案发的奇虎公司两名网络工程师利用专业知识破解了4张北京市政“一卡通”内芯片的系统密码,之后恶意充值,并多次刷卡消费。目前嫌犯杨某及其同事林某因盗窃罪分别被法院判处拘役6个月及5个月,缓刑5个月;二是台湾某科技公司资讯安全工程师吴某,利用读卡机篡改悠游卡余额,在台北市内湖区一家超市进行扣款交易,后经悠游卡安全防护系统侦察,共拦截吴使用的3张异常交易票卡,配合超市录影监视设备,交叉比对出吴嫌影像及相关使用纪录,将相关证据转交台北市刑大侦办,并最终逮捕吴某;三是10月份发生的,北京市政“一卡通”被指不安全泄露用户位置信息,质疑网友发消息称,只需要将北京市政一卡通卡号输入“一卡通”官方网站上,用户的消费信息就会一览无余。并称这种现象和手机窃听一样,对用户的信息安全构成威胁。通过登陆“一卡通”官方网站查询发现,暴露的信息主要包括用户的消费时间,消费金额,卡内余额,乘客换乘的车次以及上下站车站等。

目前这三件事情基本有了结果,前两件事以涉案犯最终归案而结束,第三件事以一卡通网站暂停公布“一卡通”查询数据库而告终。虽然个体事件基本终结,但这些事件的影响却远未结束,第一个案件直接引发了工信部的介入调查,而围绕第三件事的网上讨论依旧没有停止。虽然这三起事件并没有引起严重的后果,但是却给我们“一卡通”管理单位提出了警示,那就是“一卡通”应用系统管理环节亟待加强安防。

类似的事件在去年10月份发生过一次,就是在青岛地区的窃取“一卡通”充值系统,该事件是盗窃分子盗取了公交公司的充值系统给自己的卡片充值,这说明随着“一卡通”应用的越来越广泛,针对“一卡通”犯罪的案件在进一步增加。鉴于此,笔者认为目前“一卡通”系统管理单位有必要加强“一卡通”系统的安全防范工作。

根据检方指控,2010年12月下旬,奇虎公司杨某研究发现北京市市政“一卡通”充值系统存在漏洞,便用自己的“一卡通”试手,在成功地破解了卡内芯片带有的系统密码后,杨某发现卡上金额可以随便改动。2010年12月下旬至今年3月24日,杨某在奇虎公司内,分别往自己及宋某、张某(两人另案处理)的3张市政“一卡通”内非法充值1600余元,为林某的“一卡通”充值1000余元。之后,杨某、林某便多次伙同宋某、张某等人去饭店等场所刷卡消费1700余元。今年3月,“一卡通”公司发现有些卡出现了不是在指定充值点充值的交易记录,而且每次充值的金额都比较大,便怀疑卡被恶意充值,于是报警。警方接报后,立即连同“一卡通”公司追踪了几张嫌疑卡的消费记录,很快锁定了嫌疑人,并于2011年3月25日将杨某等人抓获归案。从此次事件的过程来分析,这是一起类似于黑客的入侵行为,首先是案犯发现了“一卡通”充值系统的漏洞,并破解了“一卡通”芯片密码,然后实行了充值。后因“一卡通”公司发现非指定地点较大额度充值才被怀疑并发现,案犯从作案到案发,期间经过了近半年时间,如果我们作一个假定,案犯通过黑客行为篡改充值地点,并在“一卡通”公司允许的额度内充值,是不是就有可能不被发现呢,从该案的发生与破案过程来看,完全有这种可能,因此,这就提醒我们的“一卡通”系统管理单位,有必要确立更加严格的防范机制并迅速对一卡通使用的异常行为做出反应,才能更有效保障“一卡通”应用的安全。并且我们可以发现,如果出现问题,受到伤害最大的是“一卡通”管理单位。

台湾优游卡安全事件,是案犯通过私买读卡器进行篡改卡片金额,这实际上是在网络上叫卖的修改卡片数值读卡器的一个翻版,不过也从侧面提醒我们的“一卡通”管理单位,及时的升级芯片卡是多么的重要,好在目前最新的CPU卡片已基本解决了M1卡片的安全问题。(责任编辑:admin)

  • “扫一扫”关注融合网微信号

免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。

今日头条

更多>>

热门关键字

关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号