Uzņēmums: «Rīgas satiksmes» e-talonu sistēma ir viegli apkrāpjama (55)

LETA
CopyLinkedIn Draugiem X
Lūdzu, ņemiet vērā, ka raksts ir vairāk nekā piecus gadus vecs un ir pārvietots uz mūsu arhīvu. Mēs neatjauninām arhīvu saturu, tāpēc var būt nepieciešams meklēt jaunākus avotus.
Foto: Ieva Čīka / LETA

Vairāk nekā piecus gadus pēc «Rīgas satiksmes» sabiedriskā transporta biļešu sistēmas ieviešanas tajā pamanīta drošības ievainojamība, kas ļauj nokopēt e-talonus neierobežotai bezmaksas braukšanai, kiberdrošības uzņēmuma «Possible.lv» valdes loceklis Jānis Jansons.

Pievienots «Rīgas satiksmes» viedoklis 7.-9.rindkopā

Pateicoties šai ievainojamībai, iespējams ar vienu vienreiz lietojamo papīra e-talonu braukt bezgalīgu skaitu reižu. «Viss, kas nepieciešams, lai izmantotu atklāto drošības ievainojamību, ir viedtelefons ar NFC iekārtu, kas mūsdienās nav retums, kā arī internetā par padsmit eiro iegādājama Ķīnā ražota klonēšanas karte,» norādīja informācijas tehnoloģiju drošībnieks.

Uzņēmums «Possible.lv» par drošības nepilnību 22.jūlijā informējuši Informācijas tehnoloģiju drošības incidentu novēršanas institūcija CERT.LV, bet

sistēmas uzturētāji vairāk nekā divu mēnešu laikā nav veikuši uzlabojumus,

kas novērstu vai ierobežotu atklāto drošības ievainojamību, kas nozīmē, ka nepilnība joprojām ir izmantojama. Lai mazinātu nodarīto kaitējumu sabiedrībai un panāktu, ka atbildīgie ievainojamību novērš pēc iespējas ātrāk, līdz ar to apturot iespēju ievainojamību izmantot ļaundabīgi, «Possible.lv» par ievainojamību izlēmuši ziņot plašākai sabiedrībai.

To, ka "Possible.lv" paziņojis par ievainojamību, apstiprina CERT.LV vadītāja Baiba Kaškina un norāda, ka "CERT.LV ir informējis e-talonu sistēmas uzturētājus un konsultējis par iespējām šo ievainojamību novērst.

Ievainojamībā tiek izmantota kartes simulācija, lai sazinātos ar transporta līdzeklī izvietoto e-talona termināli. E-talona terminālis šajā simulētajā kartē ieraksta visus nepieciešamos datus, kas apliecina biļetes reģistrēšanas jeb kompostrēšanas faktu. Gadījumā, ja sabiedriskajā transportā iekāpj kontrole,

datus no kartes simulācijas ir iespējams ierakstīt īstajā e-talonā,

ko sabiedriskā transporta kontrole pieņemtu kā derīgu. Ja kontrole neiekāpj, kartes simulāciju var atgriezt atpakaļ jebkurā iepriekšējā stāvoklī kopš pēdējās kontroles iekāpšanas reizes. Šajā gadījumā pasažieris samaksātu tikai par braucieniem, kuros biļetes pārbauda sabiedriskā transporta kontrole.

Tāpat arī kartes simulāciju iespējams nomaskēt ar citu e-talonu vai e-talona maciņu. Tādā gadījumā kontrolei iespējams uzrādīt kartes simulāciju. «Possible.lv» mājaslapā publicētā video redzams, kā ar viedtālruņa un «Mifare Ultralight» kartes simulācijas palīdzību iespējams veikt braucienu reģistrāciju un «attīšanu». Video redzamie e-talona dati tikuši «iztērēti» vairākas dienas pirms video uzņemšanas, tāpēc eksperti nosprieduši, ka e-talonu «melnais saraksts» jeb «blacklist» patiesībā neeksistējot.

Kā skaidroja SIA «Rīgas karte» pārstāvis Aleksandrs Brandavs, tehniski minēto talona simulāciju nevar veikt, jo ikvienam «Rīgas satiksmes» «dzeltenajam» e-talonam ir savs unikālais sērijas numurs, ko «Rīgas satiksmes» pārstāvji sistēmā var redzēt talona validācijas laikā. «Teorētiski visus datus var nokopēt, bet sērijas numuru nevar mainīt,» sacīja uzņēmuma IT speciālists.

Katram talonam ir arī «ciparu paraksts», kuram neesot pieejas bez sistēmas atslēgas, tādēļ to neesot iespējams klonēt.

Viņš arī skaidroja, ka krāpniecības process tiek uzraudzīts šādi - katram unikālajam talonam tiek konstatēta gan pārdošana, gan validācija. Ja redzams, ka notikusi konkrēta talona validācija, bet nav notikusi pārdošana, ir skaidrs, ka notikusi krāpniecība. «Rīgas kartes» pārstāvji gan teic, ka tā vēl nekad nav noticis, arī šodien pārbaudīta sistēma, kur nekādi krāpniecības gadījumi neesot konstatēti.

«Rīgas satiksme» elektronisko biļešu (e-talona) ieviešanai pilsētas sabiedriskajā transportā 2007.gada beigās izveidoja uzņēmumu «Rīgas karte». Elektroniskās biļetes tika ieviestas 2009.gada pavasarī, nomainot kompostierus un konduktorus.

Elektronisko biļešu ieviešana Rīgā izmaksāja aptuveni 15,65 miljonus eiro,

bet sistēmas uzturēšana katru gadu prasa aptuveni 10 miljonus eiro, liecina aģentūras LETA arhīva informācija.

51% «Rīgas kartes» pieder «Rīgas satiksmei», bet 49% - ASV kompānijai «Affiliated Computer Services, Inc.» (ACS), kas apkalpo pašvaldības un valsts iestādes 30 valstīs visā pasaulē.

Komentāri (55)CopyLinkedIn Draugiem X
Svarīgākais
Uz augšu