Café gratis? Investigador manipula el sistema de tarjetas regalo de Nespresso e inserta más de 167 mil € en su tarjeta

Máquinas de café Nespresso automatizadas en Europa, se puede manipular fácilmente para obtener “café gratis”, ya que la empresa sigue utilizando sistema de tarjeta inteligente, extremadamente vulnerable y nada adecuado a los estándares de la industria, informa el investigador belga de seguridad de la información Polle Vanhoof.

El investigador explica que algunas máquinas de autoservicio, Nespresso Pro, utilizan un sistema de pago con tarjeta, equipado con Comunicación de campo de proximidad (NFC) desarrollado por Mifare (extremadamente vulnerable).

Tarjeta equipada con NFC Mifare Classic, utilizada por el investigador.  Foto: Polle Vanhoof.
Tarjeta equipada con NFC Mifare Classic, utilizada por el investigador. Foto: Polle Vanhoof.

También en marzo de 2008, los investigadores de seguridad vinculados a la universidad holandesa Radboud Nijmegen pudieron clonar y manipular los datos del chip Mifare Classic. Vanhoof comenta que el descubrimiento llamó mucho la atención en ese momento, principalmente porque la tecnología se utilizó en el sistema de pago del transporte público en los Países Bajos.

La tecnología, vulnerable desde 2008, sigue siendo ampliamente utilizada por empresas de todo el mundo. Una breve encuesta en sitios web de importación y tiendas online puede encontrar varias opciones de Mifare NFC que se venden a precios bajos, como etiquetas, insignias y tarjetas de acceso.

“Desde la publicación de esta investigación, la serie Mifare Classic se considera insegura y no debe utilizarse para realizar trabajos sensibles a la seguridad. Mifare ofrece alternativas a su serie Classic, siendo Mifare Plus el sustituto inmediato de Mifare Classic con un nivel de seguridad certificado (basado en AES-128) totalmente compatible con Mifare Classic ”, explica el investigador.

Conociendo la vulnerabilidad del sistema Mifare Classic, Vanhoof decidió probar la integridad de los pagos en Nespresso Pro y su blog, informó sobre todo el proceso de ingeniería inversa empleado en la investigación.

Usando un lector NFC y un pequeño Python, Vanhoof logró romper el cifrado básico del sistema y manipular sus datos.. Primero, hizo una compra para comprender cómo maneja la tarjeta los pagos. Después, cambió el código donde se almacenan los créditos e insertó más de 167 mil euros de la UE en la “tarjeta inteligente”.

El lector es demasiado pequeño para mostrar el número completo de 167.772,15, que equivale al valor en euros insertado en la etiqueta.  Foto: Polle Vanhoof.
El lector es demasiado pequeño para mostrar el número completo de 167.772,15, que equivale al valor en euros insertado en la etiqueta. Foto: Polle Vanhoof.

La principal vulnerabilidad de este sistema es que La información crediticia se almacena en la propia etiqueta y no en un sistema de control central.. El investigador justifica que las etiquetas Mifare Classic son muy baratas y fáciles de instalar, pero hay que tener en cuenta su falta de seguridad.

“Este es un diseño muy simple y económico, requiere menos hardware y software para implementarse, por lo que es una opción probable para cualquiera que desarrolle un sistema de este tipo, inconsciente de las debilidades de seguridad del Mifare Classic“, escribe.

Una de las soluciones que presenta el investigador es almacenar la información crediticia en un sistema remoto, protegido y encriptado, en lugar de almacenarla en la tarjeta del usuario. Según el investigador, Nespresso está trabajando para solucionar el problema.


Fuente: Polle Vanhoof.

See the original post at: https://thehack.com.br/cafe-de-graca-pesquisador-manipula-sistema-de-giftcard-da-nespresso-e-insere-mais-de-eu-167-mil-em-seu-cartao/?rand=48889

También podría gustarte

More Similar Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.