Transpordiamet ühiskaartide turvaaugust: isikustaja jätab jäljeks oma isikukoodi
Tallinna transpordiameti juhataja Andres Harjo leiab, et uudis Tallinna uue piletisüsteemi turvaaugust on katse süsteemi halvustada, sest pole mõtet sooritada vargust, kui jäädakse suure tõenäosusega vahele.
Ümberisikustamise eelduseks on Harjo sõnul ühiskaardi numbri teada saamine. "Ühiskaardi isikustamisel jätab isikustaja süsteemi jäljena maha oma isikukoodi. On see siis nutikus?" küsib Harjo.
"Milleks sooritada vargust, milles vahelejäämise tõenäosus on 100 protsenti, samas kui võita on umbes 10 eurot. See ei ole ju loogiline?" lisab Harjo.
"Kui isikustatud ühiskaartide ümberisikustamine saab toimuda üksnes kaardi omaniku nõusolekul, siis "nutikate" eksperiment näitas, kuidas on võimalik isikustamata ühiskaart ja sellel olevad sõiduõigused või kaardikontole kantud raha kaardi omaniku teadmata pahatahtlikult enda valdusesse saada ühiskaardi isikustamise kaudu," selgitas Harjo.
Harjo sõnul on varasemast ajast analoogseid näiteid ID-piletiga, kui varastatud mobiiliga on ostetud ühistranspordipilet ja isikukoodi alusel on varas hiljem tuvastatud ja vastutusele võetud.
Eesti Päevaleht kirjutas 15.01 lehes, et suvalise isikustamata ühiskaardi saab igaüks kergesti omastada ja raha enda kaardile kanda. Mobiiltelefoniga on võimalik kaassõitja ühiskaardi andmed kätte saada lihtsalt kaardist mööda jalutades. Ühiskaardi veebilehel saab aga leida kõik salvestatud ühiskaartide numbrid ja need kaardid koos rahaga enda nimele vormistada.
Ühiskaardile kantud raha endale võtmiseks on vaja teada selle kaardi numbrit, mis on kirjutatud kaardi tagumisele küljele. Kuid numbri teada saamiseks polegi vaja teise inimese kaarti näha või seda varastada. Kuna ühiskaardis kasutatakse raadiolainetel töötavat kiipi, siis saab seda kaarti „lugeda” iga uuemat tüüpi NFC- ehk lähiväljaside toega mobiiltelefoniga. Eesti Päevalehe tehtud katse käigus olid kõik ühiskaardid loetavad levinud HTC One X tüüpi nutitelefoniga.
