Nasz czytelnik zaprezentował, jak ominąć zabezpieczenie na karcie miejskiej i "doładować" ją biletami miesięcznymi ważnymi do 2016 r. za łączną kwotę 2,5 tys. zł, nie wydając przy tym ani złotówki.
Czy karty miejskie, które w Trójmieście są nośnikami m.in. biletów na komunikację, są dobrze zabezpieczone? Nasz czytelnik udowodnił, że nie. Korzystając z programu komputerowego z Internetu i czytnika kart, który można kupić za kilkanaście dolarów, złamał zabezpieczenie karty miejskiej i doładował ją biletami ważnymi do 2016 roku. Dyrektor gdańskiego ZTM od nas dowiedział się o problemie.
2013-01-23 09:00
Piękna praca na zaliczenie jednak z punktu widzenia świata przestępczego zupełnie niepotrzebna. Z tego powodu zamiast pieniędzy od firmy możesz jedynie otrzymać uścisk ręki prezesa. Dlaczego?
a) nie można takich kart sprzedawać na czarnym rynku masowo ponieważ po jednym użyciu zostaną zablokowane przez operatora, nikt tego nie kupi.
b) karta jest imienna i potrzebny byłby włam do bazy i wyciek danych na zewnątrz co szybko zostałoby odkryte
c) zwykły użytkownik korzystający z czytnika i oprogramowania z netu wystawia się jak na widelcu na odpowiedzialność karną - czyli trzeba być idiotą aby to zrobić (pomijam aspekt moralny, osobiście do głowy by mi nie przyszło kraść)
d) gdyby nawet udało się ukraść bazę i stworzyć sieć lewej dystrybucji (kosztowne), to za ile możesz sprzedać kartę, którą użyjesz maksymalnie kilka razy? nieopłacalne
Zabezpieczenia zapewne poprawią, ale z punktu widzenia rachunku prawdopodobieństwa wystąpienia takiego zdarzenia jest minimalne.
2013-01-23 09:51
Karte mozna tez miec na okaziciela, wtedy nazwisko nie jest potrzebne.
Jesli ktos doladowywalby karte na 1 miesiac, nie rzucalo by sie to w oczy w czasie kontroli.
Pytanie najwazniejsze, to jak skonstruowana jest baza danych po stronie ZTM. Jesli rzeczywiscie dla kazdej karty przechowuje rejestr doladowan, to mozna takie na lewo ladowane karty w miare szybko wykryc. Ale to wymagaloby synchronizacji bazy ZTM ze wszystkimi punktami w ktorych doladowuje sie karty. Nie wiem, czy cos takiego istnieje.
Najciekawszym pytaniem w tym kontekscie jest to, jak ZTM organizowal przetarg na ten system. To, ze karty z chipem mifare sa niebezpieczne wiadomo od konca 2007 roku (Chaos Communication Congress 2007). To powinno dac do myslenia.
2013-01-23 10:32
z tego co opisal Pan Adam wydaje mi sie, ze ztm zadnej takowej DB nie posiada. Sa czytniki w danych punktach/kasach ztm ktore jedynie doladowywuja karte...
2013-01-23 10:52
2013-01-23 11:35
ad.a)nie ma mowy o handlu kartą. kartę kupujesz legalnie a doładowujesz sobie z komputera
ad.b)karta na okaziciela jest idealna do pirackiego doładowania
ad.c)skoro to jest idiotyczne,to jak nazwać złodziei złomu?
ad.d)to jest właśnie idiotyczny pomysł
Wystarczy dobry kumpel w akademiku z komputerem i pół Politechniki jeździ na "swoich" doładowaniach.
Pan dyrektor nie ogarnia tematu,więc popisuje się "wiedzą" z karteczki. Żenujące.
I najważniejsze: ZTM to spółka miejska ,czyli publiczna. Jeśli ktoś okrada ZTM, okrada mnie, Panią,Pana, bo straty pokrywamy wszyscy.
Co niektórym trzeba przypomnieć.
2013-01-23 12:37
Chodziło mi o to, aby pokazać pewien mechanizm rodem z ekonomii. Czasami lepiej przyjąć, że jakiś promil transakcji będzie lewy niż wydać setki tysięcy złotych na dodatkowe zabezpieczenia. Lepiej taką kasę wydać na blokadę lewych kart niż na ich dodatkowe zabezpieczenia.
2013-01-23 09:02
Skandaliczna wypowiedź dyrektora!!!
Tacy ludzie są szefami? Przerażające.
2013-01-23 09:05
zapłacę za doładowanie karty :).
2013-01-23 09:12
Pracuje w Urzedzie Marszałkowskim w Gdańsku i uwarzam ze ten pan dyrektor za takie wypowiedzi nadaje sie tylko do zwolnienia. U mnie nie popracowałby ten Pan nawet jednego dnia.
2013-01-23 09:19
Takich właśnie urzędników mamy, co przekłada się na jakość obsługi mieszkańców.
Trzeba było "uwarzać" na lekcjach języka polskiego kris...
2013-01-23 11:33
Ty pewnie nigdy z rozpedu nie popelniles zadnego bledu ortograficznego w zyciu GRATULUJE JAKO POLAK JESTEM Z CIEBIE DUMNY
2013-01-23 12:05
podpisałeś się czysto polskim nickiem kris. Daruj już sobie, wracaj do przekładania papierów w urzędzie. Marszałkowskim oczywiście.
2013-01-23 13:26
co za kompleks :) pisowski ?
2013-01-23 14:53
Żenujące są te podpisy i wpisy: jako Polak, prawdziwy Polak, Sprawiedliwy, niezależny. I kto tu leczy kompleksy?
2013-01-23 09:39
zajmij sie lepiej SKM i PR, które będą strajkować w piątek.
2013-01-23 15:34
zajmij się rodzina pajacu
2013-01-23 09:49
jak tam sprawa dyrektora generalnego? Przestał mieć seksistowskie zachowania?
2013-01-23 09:18
2013-01-23 09:19
Jak denne muszą być napisane Specyfikacje na przetargi publiczne i jaka mierna jest weryfikacja oferentów. Kto pisze te Specyfikacje -- URZĘDNICY-- Wygrywa oczywiście najtańsza oferta!! To co tu się dziwić. Tanią kiełbasę psy jedzą. -jak to się mówi.
2013-01-23 14:47
Czytaj uważniej. Jest napisane w artykule że zajęło mu to tydzień licząc 8 godzinny dzień pracy.
2013-01-23 21:40
2013-01-23 09:21
2013-01-23 18:53
na tych kartach dostęp do danych można mieć w godzinę. Struktury danych natomiast interpretować można bardzo długo.
2013-01-23 09:25
Sygnity to spółka matka firmy Emtal, prawdopodobnie to właśnie ta firma była odpowiedzialna za wdrożenie systemu kart miejskich. Po drodze zaliczyła dużo więcej wpadek ze swoimi wdrożeniami:
- Tablice SIP w Gdańsku. Ktoś sobie przypomina problemu z ich uruchomieniem?
- Wdrożenie e-biletu w Tczewie, który przez swoje dziury spowodował gigantyczne straty dla przewoźnika
Chcecie więcej? Pogooglujcie sobie prezesa tej firmy - Waldemara Rokickiego.
2013-01-23 09:29
2013-01-23 11:40
System sprzedał Emax. Potem rozwijało go Sygnity. Minęło 7 lat bez żadnych ruchów rozwojowych miasta. I co ma Sip do hakowania kart? I to jak widac na tablicach dzialajacy calkiem nieźle. Masz coś moze osobiście do człowieka i zalatwiasz to tutaj?
2013-01-23 12:06
że anonimowość czyni bezkarnym?
2013-01-23 12:25
Dialektyka erystyczna Szopenhauera. Punkt ostatni. Obrzuc błotem, jak nie masz argumentów, zawsze coś się przyklei
2013-01-23 14:41
Jezu, takie brzydkie wyrazy. Doda, cycki, skandal - o, to zrozumieją.
2013-01-24 13:51
Wita, tu Rokicki. A konkretnie to co masz do mojej osoby bo nie bardzo rozumiem. System został kupiony w przetargu od Emax. Tak pomagałem przy jego wdrożeniu i w 2006 roku nikt nie słyszał o hakowaniu Mifare Classic. Od 2007 nie mam z projektem karty Miejskiej żadnego związku, a jakbym miał to pewnie taka sytuacja nie miałaby miejsca. SIP zaś nie ma żadnego związku z systemem biletowy, a sprawa jest w sądzie. Zaś z wdrożenia Tczewa nie mam powodu do wstydu bo nie słyszałem by użytkownikom ponad 25tys kart w Tczewie (na 70tys mieszkańców) system się nie podobał i wierzę, że kiedyś w Gdańsku też taki poziom akceptacji osiągnięty będzie (czyli 200tys kart/500tys mieszkańców). a czym Ty się możesz pochwalić?
2013-01-23 09:29
od kilku miesiecy na ETI na PG mozna przejsc sie do tamtejszych studentow i za kilkanascie/kilkadziesiat zlotych doladowac bilet, "klientami" sa zarowno studenci jak i zwykli ludzie
Adam zrobil kawal dobrej roboty ale bilety do 2016 to lekka przeginka, studenci doladowuja zwykle miesieczne albo semestralne i nic dziwnego w kontrolach nie wychodzi
2013-01-23 10:43
bo dziwny bilet faktycznie przyciąga uwagę, ale to nie jego dziwność go demaskuje, lecz brak pokrycia karty z biletem widniejącym w systemie sprzedanych biletów
2013-01-23 09:32
Chce zostać pana kolegą !
2013-01-23 10:00
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.
