Двадцатилетний Антон Л. из поделился на главном российском IT-ресурсе Хабрхабр опытом взлома "Подорожника". В начале поста автор предупреждает: "хакнул" карту исключительно из исследовательского интереса, не имея целью нажиться на проезде в общественном транспорте.

Юный умелец написал специальную программу для ускорения тестирования "Подорожника", которая работает на обычной мобильной платформе Android. Из оборудования ему понадобился только NFC-считыватель, причем совершенно обычный, который на AliExpress стоит 2000. Суперзнания здесь тоже в общем-то нужны не были, достаточно начального уровня программирования и информатики. Вот только открытой технологии в сети нет - информацию пришлось собирать по крупицам.

- Нужно сразу уточнить: сама технология взлома придумана не мной. Уязвимость в картах, на которых базируется "Подорожник", была найдена и описана в научной работе ещё в 2015 году. Я лишь применил эту уязвимость непосредственно к питерской карте и уже таким образом смог получить данные с нее, - рассказал Антон Metro. - Я считывал данные из памяти карты, потом прикладывал к турникетам, проверял данные ещё раз и смотрел, что именно в памяти карты изменилось.

Выяснилось, что метрополитен блокирует подозрительный "Подорожник" после первого же прохода, а вот в наземном транспорте он будет работать еще как минимум две недели. Ездил по взломанной карте Антон немного - всего 6-7 раз.

"Данная атака позволяет бесплатно и без каких-либо ограничений пользоваться любыми наземными видами транспорта: карта Подорожник принимается к оплате в автобусах, троллейбусах, трамваях и маршрутных такси. С метрополитеном ситуация не такая: турникеты синхронизируются очень оперативно и любые попытки обойти защиту заканчиваются блокировкой карты в кратчайшие сроки. Пассажиропоток петербургского метрополитена составляет около 5 млн человек в день, поэтому меня приятно удивил тот факт, что несмотря на большую нагрузку, система защиты в метро работает без нареканий", - пишет Антон на Хабрхабре.

IT-гений советует: нужно участить сбор и анализ данных на валидаторах наземного транспорта или обновить программные компоненты - дабы они отвечали всем современным требованиям безопасности.

При желании, конечно, деяние Антона можно подвести под статью, однако подробный разбор взлома "Подорожника" и советы по повышению безопасности карты сомнений в благородных намерениях молодого человека сомнений не оставляют.

- Ездить по такой карте можно как минимум 2 недели, за это время стоимость "Подорожника" многократно окупится. Возможно и дольше (насчёт пожизненно всё-таки не уверен), но я не стал продолжать, так как считаю, что дальше уже не тестирование, а умышленное причинение вреда муниципалитету, - уверен Антон.