Исследователи SEC Consult (Eviden) сообщили о критической проблеме в предоплаченных NFC-картах компании KioSoft, которая специализируется на платежных решениях для терминалов самообслуживания в прачечных, торговых автоматах, игровых залах и автомойках. Уязвимость CVE-2025-8699 позволяла злоумышленникам без оплаты увеличивать баланс карт, а закрытие проблемы растянулось более чем на год.
Что произошло: уязвимость в экосистеме платежных карт KioSoft
KioSoft заявляет о более чем 41 000 установленных киосков и 1,6 млн платежных терминалов в 35 странах. По данным SEC Consult, уязвимость затрагивала часть предоплаченных карт, применяемых в конкретных терминалах. Проблема была обнаружена в 2023 году и связана с тем, что данные о балансе хранились непосредственно на карте, а не на защищенном сервере.
Почему это стало возможно: слабые места MIFARE Classic
Уязвимые карты использовали технологию MIFARE Classic, у которой давно задокументированы криптографические недостатки (исследования 2007–2008 годов продемонстрировали практические атаки на схему аутентификации и ключевую систему). Эксплуатируя известные уязвимости и проанализировав формат хранения данных на картах KioSoft, специалисты получили возможность читать и модифицировать баланс напрямую.
Как эксплуатировалась CVE-2025-8699: инструменты и ограничения
Для атаки достаточно универсального RFID-инструмента уровня Proxmark и базовых знаний о слабостях MIFARE Classic. Исследователи показали, что баланс можно было довести до максимума в $655 за одну операцию и повторять процедуру неоднократно, фактически создавая средства на карте без легитимной транзакции.
Раскрытие уязвимости и выпуск патча: длительные сроки и роль CERT
По информации SEC Consult, первый контакт с KioSoft состоялся в октябре 2023 года. Ответ от производителя последовал лишь после подключения специалистов CERT, после чего вендор неоднократно запрашивал продление сроков раскрытия. В итоге KioSoft сообщила, что обновленная прошивка выпущена летом 2025 года и что компания планирует новые аппаратные решения с усиленными мерами безопасности.
При этом KioSoft не раскрыла номера уязвимых и исправленных версий, отметив, что клиенты получат адресные уведомления. Компания также подчеркнула, что большинство ее решений не используют MIFARE Classic. SEC Consult сообщил, что уже не имеет доступа к изначально исследованным терминалам, и потому не смог независимо проверить качество патчей.
Риски для операторов и рекомендации по снижению угроз
Сценарий с офлайн-хранением баланса типичен для систем с предоплаченными картами, но он повышает риски: компрометация карты ведет к прямым финансовым потерям и подрыву доверия пользователей. На практике индустрия переходит к более защищенным решениям: MIFARE DESFire EV2/EV3 (AES, режимы безопасности SL3), диверсификация ключей на карту, а также серверная фиксация баланса и журналирование транзакций.
Операторам терминалов и интеграторам стоит:
- Мигрировать с MIFARE Classic на современные продукты (например, DESFire EV2/EV3) с включенным AES и взаимной аутентификацией.
- Переносить учет средств в централизованную биллинговую систему, используя карту как токен доступа, а не как носитель ценности.
- Реализовать привязку карт к учетным записям, лимиты пополнений и поведенческую аналитику для выявления аномалий (резкие скачки, повторяющиеся максимумы).
- Внедрить диверсификацию ключей на каждую карту/сектор и защиту от отката данных (anti-tearing), контроль счетчиков и криптографические подписи записей.
- Поддерживать актуальность прошивок, вести инвентаризацию терминалов и проводить регулярные тесты на проникновение с участием внешних экспертов.
Случай KioSoft показывает, что известные уязвимости старых технологий сохраняют эксплуатационную ценность годами. Организациям важно выстраивать процессы координированного раскрытия с поставщиками, придерживаясь отраслевых сроков и обеспечивая быстрое развертывание исправлений. Для экосистем с офлайн-платежами ключом к устойчивости остаются современные криптографические стандарты, серверная валидация и мониторинг аномалий. Если вы управляете парком терминалов, инициируйте аудит используемых карт и прошивок уже сегодня и планируйте миграцию на защищенные решения.
