Studerende: Jeg kan snyde Rejsekort uden at hacke kortets hjerte
more_vert
close
close

Vores nyhedsbreve

close
Når du tilmelder dig nyhedsbrevet, accepterer du både vores brugerbetingelser og at Mediehuset Ingeniøren og IDA group ind i mellem kontakter dig angående events, analyser, nyheder, tilbud etc. via telefon, SMS og e-mail. I nyhedsbreve og mails fra Mediehuset Ingeniøren kan findes markedsføring fra samarbejdspartnere.

Studerende: Jeg kan snyde Rejsekort uden at hacke kortets hjerte

Rejsekort-selskabet påpeger i en ny redegørelse til transportministeren, at det ikke kan lade sig gøre at ændre den elektroniske pung på kortet. Men det behøver man heller ikke gøre for at snyde, fastslår den datalogistuderende, som oprindelig hackede kortet.

I en ny redegørelse til transportminister Lars Barfoed (K) fastslår Rejsekort-selskabet, at det endnu ikke er lykkedes nogen hacker at nå ind til kernen, den elektroniske pung, på kortet. Derfor kan hackere heller ikke fylde penge på kortet.

Men det er slet ikke nødvendigt at kunne læse den elektroniske pung for at benytte et rejsekort uden at betale for turen. Det fastslår Christian Panton, som læser datalogi på Københavns Universitet, og som demonstrerede, hvor enkelt det er at ændre de basale oplysninger på Rejsekortet.

Han har hacket de nøgler, som beskytter oplysninger om de seneste rejser og kortets saldo. Dem kan han kopiere ud af kortet inklusive den digitale signaturfil, som krypterer saldoen. Når han har foretaget én rejse, tager han simpelthen kortet hjem til computeren og indlæser en tidligere version af filen med den gamle saldo, som ikke er fratrukket rejsens pris.

I redegørelsen til transportministeren fastslår Rejsekort A/S, at svindel foretaget på den måde vil blive opdaget efter senest 24 timer, når automaterne på stationer og i busser sender oplysninger til det centrale it-system. Derefter vil kortet blive spærret, og kunder, som er blevet snydt, vil få deres penge igen.

»Selvfølgelig får kunderne deres penge igen. Men det er jo hamrende ubelejligt. Sikkerheden er allerede meget i knæ, og der vil vise sig flere og flere fejl, så problemerne med tiden bliver større og større,« forudser Christian Panton.

Rejsekort A/S argumenterer over for Lars Barfoed, at det Mifare Classic-kort, som selskabet benytter, er i brug verden over.

»Det faktum at vi har valgt det mest foretrukne kort (det er en hyldevare), gør naturligvis, at dette også er hackernes foretrukne. Der er ikke på nuværende tidspunkt et åbenlyst alternativ til Mifare Classic, men der pågår internationalt overvejelser om, hvad der bliver den generelle afløser,« skriver selskabet.

Christian Panton har ikke kompetence til at kommentere selskabets økonomiske overvejelser om at vælge Mifare Classic.

»Jeg ser på det ud fra en sikkerhedsbetragtning, og Mifare Classic er bare så forfærdeligt hullet. Så længe kortet er så usikkert, bliver problemerne bare værre med tiden. Allerede nu er vi der, hvor en knægt fra universitetet kan sætte sig ned og i lidt fritid læse lidt og derefter angribe det. Så er niveauet måske lidt for lavt,« siger han.

Rejsekort skal erstatte papirbilletterne i busser og tog. Systemet, der har et budget på halvanden milliarder kroner, skal være rullet ud i hele landet i 2012.

Kommentarer (27)

Det er nok ikke så hullet som buskort, hvor man bare kan lave nogle stykker i photoshop og printe dem ud. Det her kræver da trods alt en hel del at snyde med.

  • 0
  • 0

Som der står i artiklen vil systemet senest 24timer efter opdage at der er forsvundet en rejse og betalingen for samme, du kan ved at snyde gennemføre en ny rejse, men hvis terminalen logger rejsekortets serienummer og tid er det nemt at efterforske med overvågningskameraet, specielt hvis det er noget du gentager.

Dobbelt op og en klækkelig bøde samt en politianmeldelse for dokumentfalsk, måske den klassiske snyder (uden billet) slipper billigere?

  • 0
  • 0