Simán hamisítható a mobilbérlet: 10-ből 10-szer jutottunk át az ellenőrzéseken

A közösségi közlekedés finanszírozása a tét, azonnal le kell állítani a rendszert

2017. július 17. - Közlekedő Tömeg

Nem csak a személyes adatokat kezeli hanyagul a BKK néhány napja megjelent, biztonsági hiányosságoktól hemzsegő internetes bérlete – a díjtermék minimális informatikai képességekkel is élethűen lemásolható, az interneten pedig könnyedén terjeszthető, miközben azt tömegesen továbbra is mindenféle technológiai segítség nélkül, ránézésre ellenőrzik a buszvezetők vagy a metró biztonsági őrei. Demonstratív céllal mi is kipróbáltuk, videónkból kiderül: a másolt bérlettel 10-ből 10-szer sikerült átjutni a felszínes ellenőrzésen (természetesen minden alkalommal rendelkeztünk valódi papírbérlettel is, a teszt célja a trehány, amatőr rendszer hibáinak bemutatása volt).

A BKK új rendszere így a budapesti közösségi közlekedés évi 65 milliárdos menetdíj-bevételét, ennek révén pedig a fővárosi tömegközlekedés működőképességét kockáztatja, ezért annak azonnali leállítását kérjük a főpolgármestertől - arra is tekintettel, hogy Dabóczi Kálmán BKK-vezérigazgató a rendszer nyilvánosságra került hibáira csak arrogáns mellébeszéléssel válaszolt a sajtóban.

hogynezezki.png

A web-design új mélységei

Bliccparadicsom és közlekedési apokalipszis

Július 14-től interneten is megvásárolhatóak a BKK napi- és hetijegyek, valamint a félhavi- és havibérletek – név, cím, és valamely okmány adatainak megadása után. Maga a díjtermék csak egy weboldalon keresztül érhető el, melyet egy okostelefonon betöltve mutathatunk fel ellenőrzésnél. (Jó kérdés, hogy lehetett egy ilyen rendszert mobilapplikációk nélkül elindítani 2017-ben, de ettől most tekintsünk el.) Az új rendszer segítségével ugyan el lehet kerülni az automatáknál és az ügyfélközpontokban való sorbanállást, de az előnyök sora ezzel véget is ér – míg kritikus problémákból viszont annál több van. Vegyük ezeket sorra!

1. Se adatvédelem, se titkosítás

Az elmúlt napokban a súlyos, amatőr adatvédelmi és biztonsági problémákról már sokat hallhattunk:

Javasoljuk mindenkinek, aki a BKK rendszerében olyan jelszót adott meg, amit másutt, más fiókokban is használ, azt haladéktalanul változtassa meg, mivel a BKK rendszeréből szivárognak a személyes adatok és jelszavak a rendszer indulása óta!

2. Nevetségesen könnyű hamisítani

A szoftverhibákat még akár orvosolhatja is a BKK, egy jó jegyrendszerhez azonban az adatbiztonság önmagában kevés – minél inkább ki kell zárni a visszaélés lehetőségét, az érvényességet pedig szigorúan, hatékonyan és minél inkább automatizáltan kell ellenőrizni. A BKK sufnituningolt on-line bérlete ezzel szemben tálcán kínálja a lehetőséget, hogy a bliccelés új dimenziókba lépjen: nevetségesen könnyű lemásolni, érdemi ellenőrzés pedig megfelelő digitális jegykezelők, leolvasók híján nincs, így akár egyidejűleg több százan is használhatnak egyetlen bérletet.

Ugyan van a rendszerben valamiféle hamisításvédelem, de ez körülbelül annyit ér, mintha a biciklink vázát csak a kerekekhez láncolnánk hozzá, mondván a tolvajok így majd nem tudnak elhajtani vele. A jegyet mutató weboldal tartalmaz egy mozgó járművet ábrázoló animációt, illetve mutatja a pontos időt. Ez a “bombabiztos” védelem felel azért, hogy a BKK évi 65 milliárdos menetdíj-bevétele ne csökkenjen. A cég szerint így majd nem tudják a felhasználók képként vagy videóként terjeszteni a jegyeket, csakhogy egy ilyen animációt lemásoló honlapot alapszintű weblapszerkesztési tudással is bárki össze tud eszkábálni – mi 6 órával a megjelenés után már le is másoltuk azt, szigorúan figyelemfelhívó céllal, a rendszer hibás és amatőr működésének bemutatását célozva.

Semmi baj, gondolhatja a BKK, hiszen továbbra is van jegyellenőrzés. A jegyeken van egy QR-kód is, amely az ügyfél központi rendszerben is nyilvántartott okmányának adatai vannak, de az – a BKK vezérigazgatójának nyilatkozatával ellentétben – semmilyen módon nincs titkosítva. Többek között ezért is tudtuk úgy lemásolni a bérletet, hogy az ne csak az ellenőrök szemét, de a QR-leolvasójukat is becsapja, bár szinte hiába törtük magunkat: leolvasó-eszköz csak az ellenőrzést végző személyek töredékénél van. Képzeljük csak el, hányszor fog előfordulni, hogy egy elsőajtós busz vezetője vagy a metróállomáson a belépést ellenőrző biztonsági őr elkéri az utas okostelefonját, leolvassa belőle az adatokat, majd elkéri a személyi igazolványt és össze is veti ezeket.

3. A bliccelők álma

Nem is csoda: a lemásolt jegyünkkel 10-ből 10-szer jutottunk át az ellenőrzéseken, még csak meg sem izzadtunk.

 

Természetesen végig volt nálunk érvényes bérlet. Magát a programot pedig kizárólag mi érhettük el, semmilyen terjesztés nem történt. A programot a videó elkészültével megsemmisítettük. A célunk nem a bliccelők dolgának megkönnyítése - épp ellenkezőleg, a videót azért készítettük, hogy felhívjuk a városvezetés és a főpolgármester figyelmét, a Fővárosi Önkormányzat súlyos milliárdokat kockáztat ezzel a trehány, amatőr rendszerrel.

4. Közlekedési káoszt hozhat

De miért is érdekelné az utast, ha a BKK elesik a jegyárbevételétől? Ahogy demagóg politikai ígéretként elhangzott már a múltban, ingyenes lenne a tömegközlekedés, ironizálhatnánk. Ugyanis, ha drámaian nő az on-line bérletekkel bliccelők száma és fokozatosan csökken a bevétel, az igen hamar milliárdos bevételkiesést okozhat a BKK-nál és a Fővárosi Önkormányzatnál. A bevételkiesés súlyos válságot okozna, járatritkításokhoz vezethetne, hisz csaknem 50%-ban a menetdíj-bevétel fedezi a budapesti tömegközlekedésben dolgozó több, mint 12 ezer ember bérét és a rendszer működését.

5. A MÁV-nak senki sem szólt

Azt se felejtsük el, hogy a Budapest-bérletek számos Budapesten belüli vonaton és agglomerációs buszon is érvényesek, erősen úgy tűnik azonban, hogy a több ezer budapesti és agglomerációs Volánbusz-járművezető, valamint a MÁV-START több száz érintett jegyvizsgálója nem kapott megfelelő oktatást a rendszerről, lévén azt sietve, az elmúlt szűk néhány hétben, kapkodva fejlesztették ki. Az alábbi vágatlan felvételből ki is derül: a vasút egyik munkatársát is úgy tájékoztatták, hogy az online bérleteket ne fogadja el a vonatokon. A megfelelő oktatás hiánya, és a késlekedés miatt az ostor a járművezetőkön és a jegyvizsgálókon fog csattanni, utasok és személyzet közötti konfliktusokat okozva – ha érvényes terméket vesz igénybe az utas, ha hamisat.

 

Vissza kell vonni az egész rendszert, amíg még nem késő

Budapesten óriási szükség van arra, hogy végre a papíralapú jegyeket és bérleteket valamilyen digitális megoldás váltsa le. Ennek érdekében indult el a chipkártyás és bankkártyás fizetést lehetővé tevő Rigó projekt - ami 2015 óta egy helyben áll, semmilyen érdemi előrehaladásról nincs hír. Annak a beruházásnak a kulcsa, hogy minden járműre és a metróállomásokra digitális jegykezelők, illetve beléptető kapuk kerülnek. Ezek nélkül azonban a rendszer életképtelen lenne - most mégis pontosan ezzel próbálkoznak.

A sorrendet márpedig nem lehet megfordítani: először kellenek az érvényesítők, utána lehet elkezdeni árusítani a digitális termékeket. Magyarul a haldokló Rigó projektet kellene a BKK-nak befejezni és nem kapkodva végiggondolatlan részmegoldásokat erőltetni az úszó világbajnokság sürgetése mögé bújva.

Nincs más megoldás: az egész rendszert azonnal le kell állítani! Mivel Dabóczi Kálmán, a BKK vezérigazgatója a rendszer körül kirobbant botrányra csak arrogáns visszavágással és mellébeszéléssel reagált, a Közlekedő Tömeg ezúton Tarlós István főpolgármesterhez fordul. Kérjük Főpolgármester Urat, hogy utasítsa a BKK-t a múlt héten bevezetett on-line bérletrendszer teljes leállítására - ez a rendszer nem csak adatbiztonsági szempontból veszélyes, de logikájában is életképtelen, a bliccelés robbanásszerű növekedését hozhatja. A megoldás a valódi, digitális érvényesítésre épülő elektronikus jegyrendszer megvalósítása - ahogy ezt tették a világ és Európa számos nagyvárosában és ahogy a Főváros és a BKK is ezt elkezdte 2014-ben.

Közlekedő Tömeg Egyesület

A bejegyzés trackback címe:

http://kozlekedotomeg.blog.hu/api/trackback/id/tr1612668873

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.