Уязвимость в защитном механизме карты оплаты проезда в общественном транспорте «Тройка» была обнаружена пользователем «Хабрахабра», программистом Игорем Шевцовым.
Используя уязвимость, владелец карты может пополнять ее баланс без внесения наличных, обеспечивая себе бесплатный проезд на общественном транспорте, а также пользование другими услугами без соответствующей оплаты.
Шевцов провел проверку системы безопасности и дал свою оценку качеству инфраструктуры, работающей с картой «Тройка». При помощи персонального компьютера и мобильного устройства на базе Android, ему удалось выявить серьезную уязвимость.
Исследователь работал на протяжении 15 дней. В итоге он разработал Android-приложение TroikaDumper, предназначенное для использования уязвимости. Шевцов разместил свою разработку в открытом доступе в ознакомительных целях. Для функционирования программы необходимо наличие смартфона с NFC-модулем.
Как утверждает разработчик, решение найденной им проблемы является достаточно простым: нужно модифицировать формат хранения информации в памяти карты и добавить некоторые изменения в ПО системы.