Разработчик Игорь Шевцов обнаружил уязвимости в системе «Тройка», которые позволяют «обманывать» электронный кошелек и пополнять баланс бесплатно. Об этом он рассказал «Хабрахабру».

Шевцов рассказал, что на проверку защищенности системы у него ушло 15 дней. Понадобились для этого только компьютер и недорогой Android-смартфоном с NFC-чипом. Самым простым способом взлома оказался рефакторинг (изменение исходного) кода Android-приложения «Мой проездной», используемого для пополнения «Тройки», после чего пополнение счета стало осуществляться без реальной оплаты.

В результате разработчик создал приложение TroikaDumper, позволяющее эксплуатировать уязвимости системы электронного кошелька. Он, правда, заявил, что вся исследовательская работа проводилась «исключительно в ознакомительных целях», так как подделка проездных билетов является уголовным преступлением.

Главный редактор «Хабрахабра» Александр Козлов попросил Департамент информационных технологий прокомментировать ситуацию. Ему ответили, что карта развивается без участия ДИТ— силами Департамента транспорта и развития дорожно-транспортной инфраструктуры. Козлов пообещал донести информацию об уязвимости до Дептранса, однако, как отреагировало ведомство, остаётся неизвестным.

Источник:  tjournal.ru