Внесенные на единую карту Таллинна деньги могут быть легко присвоены

О дыре в безопасности столичной билетной системе на прошлой неделе писала газета Eesti Ekspress, в статье рассказывалось, каким образом можно получить доступ к данным горожан. Несмотря на то, что эта ошибка на сайте была исправлена, в газету Eesti Päevaleht поступила информация, что на странице pilet.ee имеются и другие дыры в безопасности, которые позволяют перевести на свою карточку деньги с чужой единой карты, до вчерашнего дня также можно было увидеть историю сделок всех карт.

Зеленая единая карта Таллинна — это бесконтактная пластиковая карточка с технологией RFID, с помощью которой можно подтвердить право на проезд в автобусах, троллейбусах и трамваях. Жители Таллинна, персонифицируя карту, могут ездить в общественном транспорте бесплатно, гости же столицы, в том числе и люди, ездящие в Таллинн из ближайших волостей, должны с помощью этой карточки покупать билеты, для чего на карточку вносятся средства.

Для того чтобы присвоить переведенные на единую карту средства, нужно знать номер карты, который написан на ее обратной стороне. Однако человеку не нужно видеть карту, чтобы узнать ее номер. Так как в смарт-карте используется чип, работающий на радиоволнах, то эту карточку можно "прочесть" с помощью любого мобильного телефона, поддерживающего NFC, т.е. "коммуникацию ближнего поля" (Near Field Communication). В ходе эксперимента, который провела газета, все единые карты можно было "прочесть" с помощью распространенного смартфона HTC One X.

Речь идет об очень распространенной технологии, например, компания EMT продает 21 тип мобильного телефона с поддержкой NFC, самый дешевый из них можно приобрести за 150 евро. При использовании более продвинутого оборудования номер карточки можно считать с расстояния до одного метра.

Когда злоумышленник считал номер единой карты, он может без проблем посмотреть в среде pilet.ee остаток на счете этой карточки. Если ему повезет, что его жертвой окажется пассажир с неперсонифицированной карточкой, на которую положена реальная сумма, например, 10 евро. Главное, чтобы билет был неперсонифицированным, а именно на такие карточки обычно и кладут деньги.

Далее злоумышленник на странице pilet.ee может запросто связать неперсонифицированную карту со своим личным кодом и ИД-картой, или же с ИД-картой какого угодно другого лица, так как при этом не происходит никакой проверки. После этого он может купить новую, пустую единую карту и зарегистрировать ее на свое имя. Когда это происходит, система pilet.ee начинает считать, что это лицо потеряло свою старую персонифицированную карточку с заряженными на нее средствами и переводит на новую карточку сумму со старой, т.е. 10 евро. Жертва же в какой-то момент обнаруживает, что сальдо ее карточки равно нулю.

К сожалению, проблемы с безопасностью билетной системы Таллинна этим не ограничиваются, они оказались гораздо серьезнее — до вчерашнего дня в опасности находились все деньги, заряженные на неперсонифицированные карты: оказалось, что в интернет-среде pilet.ee, не заходя в систему, можно посмотреть данные чужих карточек и даже получить выписки из всей базы данных.

Например, зная номер своей единой карты, в разделе сайта pilet.ee "kaardi tehingud" (сделки с карточкой) можно посмотреть историю сделок со своей картой. Если же вместо номера карты ввести в поисковое поле символ "*", то страница еще вчера выдавала все сделки всех единых карт. Речь не идет о взломе системы, это запрос, который на языке технологий означает "каждый номер". Его знает каждый школьник, увлекающийся программированием.

Среди данных были и денежные суммы, заряженные на карты. Именно их можно было использовать: просмотреть, найти номера единых карт, на которые внесены деньги, и оформить эти карточки на свое имя.

По словам исполнительного директора Ühendatud Piletite AS Кристяна Конкса, это нельзя считать дырой в безопасности. "Это нельзя считать дырой в безопасности, так и должно быть, а в случае злоупотребления лицо, его совершившее, можно установить и призвать к ответственности. Это кража, как и вытаскивание кошелька и кармана чужого человека", — сказал Конкс.