“一卡通”应用系统管理环节亟待加强安防 - 安防知识网

　现在，在我国的380余个城市启动了“一卡通”应用，根据发卡记录估计使用“一卡通”的人数超过2亿，已经有三个特大城市“一卡通”的发卡突破2000万张。这说明“一卡通”的使用在我国城市区域已经非常普及，因此其所产生的影响也越来越广泛，但是近期却连续发生了三起与“一卡通”有关的安全事件。

　　现在，在我国的380余个城市启动了“一卡通”应用，根据发卡记录估计使用“一卡通”的人数超过2亿，已经有三个特大城市“一卡通”的发卡突破2000万张。这说明“一卡通”的使用在我国城市区域已经非常普及，因此其所产生的影响也越来越广泛，但是近期却连续发生了三起与“一卡通”有关的安全事件。一是9 月份案发的奇虎公司两名网络工程师利用专业知识破解了4张北京市政“一卡通”内芯片的系统密码，之后恶意充值，并多次刷卡消费。目前嫌犯杨某及其同事林某因盗窃罪分别被法院判处拘役6个月及5个月，缓刑5个月;二是台湾某科技公司资讯安全工程师吴某，利用读卡机篡改悠游卡余额，在台北市内湖区一家超市进行扣款交易，后经悠游卡安全防护系统侦察，共拦截吴使用的3张异常交易票卡，配合超市录影监视设备，交叉比对出吴嫌影像及相关使用纪录，将相关证据转交台北市刑大侦办，并最终逮捕吴某;三是10月份发生的，北京市政“一卡通”被指不安全泄露用户位置信息，质疑网友发消息称，只需要将北京市政一卡通卡号输入 “一卡通”官方网站上，用户的消费信息就会一览无余。并称这种现象和手机窃听一样，对用户的信息安全构成威胁。通过登陆“一卡通”官方网站查询发现，暴露的信息主要包括用户的消费时间，消费金额，卡内余额，乘客换乘的车次以及上下站车站等。

　　目前这三件事情基本有了结果，前两件事以涉案犯最终归案而结束，第三件事以一卡通网站暂停公布“一卡通”查询数据库而告终。虽然个体事件基本终结，但这些事件的影响却远未结束，第一个案件直接引发了工信部的介入调查，而围绕第三件事的网上讨论依旧没有停止。虽然这三起事件并没有引起严重的后果，但是却给我们“一卡通”管理单位提出了警示，那就是 “一卡通”应用系统管理环节亟待加强安防。

　　类似的事件在去年10月份发生过一次，就是在青岛地区的窃取“一卡通”充值系统，该事件是盗窃分子盗取了公交公司的充值系统给自己的卡片充值，这说明随着“一卡通”应用的越来越广泛，针对“一卡通”犯罪的案件在进一步增加。鉴于此，笔者认为目前“一卡通”系统管理单位有必要加强“一卡通”系统的安全防范工作。

　　根据检方指控，2010年12月下旬，奇虎公司杨某研究发现北京市市政“一卡通”充值系统存在漏洞，便用自己的“一卡通”试手，在成功地破解了卡内芯片带有的系统密码后，杨某发现卡上金额可以随便改动。2010年 12月下旬至今年3月24日，杨某在奇虎公司内，分别往自己及宋某、张某(两人另案处理)的3张市政“一卡通”内非法充值1600余元，为林某的“一卡通”充值1000余元。之后，杨某、林某便多次伙同宋某、张某等人去饭店等场所刷卡消费1700余元。今年3月，“一卡通”公司发现有些卡出现了不是在指定充值点充值的交易记录，而且每次充值的金额都比较大，便怀疑卡被恶意充值，于是报警。警方接报后，立即连同“一卡通”公司追踪了几张嫌疑卡的消费记录，很快锁定了嫌疑人，并于2011年3月25日将杨某等人抓获归案。从此次事件的过程来分析，这是一起类似于黑客的入侵行为，首先是案犯发现了“一卡通”充值系统的漏洞，并破解了“一卡通”芯片密码，然后实行了充值。后因“一卡通”公司发现非指定地点较大额度充值才被怀疑并发现，案犯从作案到案发，期间经过了近半年时间，如果我们作一个假定，案犯通过黑客行为篡改充值地点，并在“一卡通”公司允许的额度内充值，是不是就有可能不被发现呢，从该案的发生与破案过程来看，完全有这种可能，因此，这就提醒我们的“一卡通”系统管理单位，有必要确立更加严格的防范机制并迅速对一卡通使用的异常行为做出反应，才能更有效保障“一卡通”应用的安全。并且我们可以发现，如果出现问题，受到伤害最大的是“一卡通”管理单位。

　　台湾优游卡安全事件，是案犯通过私买读卡器进行篡改卡片金额，这实际上是在网络上叫卖的修改卡片数值读卡器的一个翻版，不过也从侧面提醒我们的“一卡通”管理单位，及时的升级芯片卡是多么的重要，好在目前最新的CPU卡片已基本解决了M1卡片的安全问题。

　　至于质疑北京市政“一卡通”的泄露隐私问题，虽然网上对此评论明显分为两派，一派支持，另一派认为大惊小怪。不过，笔者认为我们的“一卡通”管理单位最好还是采取审慎的态度，不要急于撇开问题，也要正视质疑的声音，毕竟我们网上“一卡通”数据库可以查到每一张卡片的运动轨迹，就像公安机关可以根据卡片信息锁定嫌疑持卡人一样，同样的信息若是被犯罪分子加以利用仍可以给持卡者带来一定的安全威胁。虽然目前的“一卡通”采用无记名方式，但是并不能排除卡号一旦泄露的漏洞。因此“一卡通”公司暂时关闭相关查询或许是明智的举动。

　　目前“一卡通”在我国的应用范围越来越广，并且全国互联互通渐成趋势，为了使“一卡通”能够更好的为人民服务，有关单位有必要加强“一卡通” 系统的安全防范工作，以免给犯罪分子以可乘之机。虽然从整体上来看，我国的“一卡通”系统安全形式整体上还是比较安定的，但是随着“一卡通”在全国范围的更进一步推广，“一卡通”管理系统所面临的安全挑战也将越来越多，我们的相关单位只有加强安全管理，未雨筹缪才能真正的做到防患于未然，为公众创造一个更加安全的“一卡通”应用环境。