נער בן 17, יוסי דהן, העוסק בפיתוח יישומים ל-iPhone, iPad ולטוויטר, במסגרת חברת Appmobil, טוען שהצליח לפרוץ את כרטיס הנסיעות החדש של (חלק) מהתחבורה הציבורית בישראל, רב-קו, (המבוסס על תקן Calypso).
טענה זו מובאת בכתבה באתר TheMarker, שכוללת בעיקר ציטוטים של הבחור ושל תגובת משרד התחבורה. נראה שלא נעשה ניסיון אמיתי על ידי העיתון לבדוק ולאמת בפועל את דברי הבחור ואת תגובת משרד התחבורה. העיקר, כרגיל, שיש כתבה מהירה ורעש ציבורי. נסתפק בזאת.
כמה הערות שלי, לאחר שבטובכם כמובן תקראו את הקישורים של הרב-קו ושל הכתבה:
– רשום לגבי הכרטיס: "רק הכרטיס בעל הפרטים מאפשר טעינה של חופשי חודשי, קבלת הנחות גמלאים, ילדים, נכים וביטוח המאפשר החזר כספי במקרה בו הכרטיס נהרס או אבד. כרטיס אנונימי ניתן תמורת תשלום של 10 ש"ח." אני עוד יכול להבין את מניעת ההנחות וההטבות, למניעת התחזות ואובדן הכנסות, אבל למה כרטיס אנונימי (שזה בדיוק מה שהיה עם כרטיסי הנייר) צריך לעלות 10 ש"ח?! הרי רק על נפח המידע שנחסך מהאחסון הדיגיטלי במסדי הנתונים של חברות התחבורה השונות היה צריך לסבסד את הכרטיסים האלו.
מצד שני, אנונימיות מפריעה למאמצי השיווק…
– מר דהן טוען "הצלחתי לנתח את כל המידע שיש בכרטיס הרב-קו, ואפילו להחליפו במידע קיים. עם עוד מעט עבודה אוכל בלי בעיה לטעון את הכרטיס בכמה נסיעות שאני רוצה, ואפילו לשנות פרטים". רגע, אני ממש לא מומחה לכרטיסים חכמים, ואולי מי מקהל הקוראים יוכל להאיר את עיניי ועיניי שאר הקוראים, אבל אם הוא הצליח להחליף במידע קיים את כל המידע שיש בכרטיס, לדבריו, אז למה הוא צריך "עוד מעט עבודה" בכדי לטעון את הכרטיס בכמה נסיעות שהוא רוצה ואפילו לשנות פרטים? הוא לא כבר עשה את זה?…
– מצוטט ש"דהן מציין כי מטרתו בפריצה היתה להוכיח באיזו קלות ניתן לפרוץ למאגרי מידע, ובעיקר למאגר הביומטרי." הא?! מה קשר מחט לתחת? איך הוא הגיע מכרטיס בודד אל פריצת מאגר נתונים?!
– בהמשך הכתבה מר דהן ממשיך להתרחב ולהתלהב עד מאוד על האפשרויות הנרחבות של מעקב אלקטרוני אחר נוסעי התחבורה הציבורית. נראה לי שהוא נסחף מעט והמעקב הזה, אני משער, יכול להיות גם בחלקו על בסיס הכרטיס האנונימי כי אני משער שגם לכרטיס זה יש מספר סידורי שהשימוש בו נרשם ומעקב פיזי קצר אחר אדם יכול להצליב בין הכרטיס האנונימי לבין אדם מסוים.
– תגובת דובר דן כמובן מוציאה במידה מסוימת את העוקץ מהכתבה.
– בדיוק חזרתי לפני מספר שבועות מפריז, שם עשיתי שימוש בכרטיס דומה לטובת מנוי שבועי למטרו, אבל נראה שהכרטיס שלהם שונה כי אין לו פס מגנטי (אבל יש כמובן שבב). כמו כן הטעינה, ככל שאני ראיתי, *כן* מחייבת מגע עם מערכת הטעינה (אם כי זה כמובן לא אומר שהטעינה היא לא אלחוטית).
מכיוון שמדובר בסה"כ בתקנים שנעשה בהם שימוש נרחב במדינות רבות ולאורך שנים ומדובר בייצור הכרטיסים על ידי חברה ידועה בתחום (ASK), הרי שייתכן שמר דהן הצליח למעשה לפרוץ לחלק ממערכת ההסעות הציבורית בצרפת (אבל לא רק כרטיסים, כן? גם מאגרי מידע!) ובכך למוטט את הסיכוי של חברות תחבורה ציבורית שם להרוויח כסף. אוּ – לָה – לָה…
אתם, כמובן, כמו מר דהן, מוזמנים לבדוק או להפריך את טענותיו. ממילא הוא אמר שנדרשת "רק עוד מעט עבודה", מה זה קצת עבודה לעומת נסיעה חינם בתחבורה ציבורית?
.
Epic Fail!
ROFL
1)ברשותי כרטיס כזה, אין שם פס מגנטי אם כי שבב.
2)מר דהן לא הוכיח את הדברים החשובים – ובהם היכולת לטעון את הכרטיס. זה שהוא קנה קורא כרטיסים וקרא אותו אני בטוח שעוד רבים ללא ידע בפריצה יעשו את אותו והדבר.
יותר מכך, מי שקרא את הטופס שהוא חתם עליו יודע את הדברים האלה, שהמידע נשמר על הכרטיס.
לגבי המאגר הביומטרי ועוד כמה דברים שנאמרו שם, זה נשמע כמו התלהבות של ילד (כן הוא ילד), ולא שום דבר רציני מעבר, שמושפע מסרטי פעולה (המשטרה תדע עלינו הכל וכו….-כן גם לזה המשטרה צריכה צו כדי לקבל מידע כזהמ חברת האוטובוסים,ללא זה זו לא ראיה קבילה).
ולגבי המאגר הביומטרי, כנראה שהוא לא ממש מבין באבטחת מידע אחרת לא היה אומר את מה שהוא אומר.
טוב נו ילד…תנו לו להנות מההתלהבות 🙂