Mobil-hack af anonyme rejsekort: Fem personer tiltalt for at rejse gratis 1.061 gange

Illustration: Virrage Images/Bigstock
En familie er anklaget for via en app at have snydt sig til gratis rejser via rejsekort.

/jm redaktion@version2.dk 25

Ekstra Bladet kan i dag fortælle, at en fem personer er tiltalt i en sag om hacking af anonyme rejsekort. Det skulle være foregået via en mobil-app hentet fra nettet.

I næste uge stilles de formodede svindlere, der nægter sig skyldige, for Københavns Byret, hvor de er tiltalt for databedrageri ved misbrug af rejsekortet. Ifølge tiltalen lykkedes det de fem tiltalte at rejse gratis 1.061 gange.

Fidusen er, ifølge tiltalen, at de købte anonyme rejsekort med en saldo på 180 til 280 kroner. Og når saldoen var helt eller delvist brugt, fyldte de rejsekortet op igen med en særlig app på deres mobiltelefoner.

Ekstra Bladet fortæller, at appen kan hentes på nettet og bruges til at ‘narre’ rejsekortet til at tro, at der er sat friske penge ind på kontoen – uden at der reelt er indbetalt en krone.

Mediet oplyser, at de tiltalte er en udenlandsk familie på tre fra Søborg, en 51-årig mand, en 51-årig kvinde og en 19-årig kvinde, samt familiens to mandlige svenske bekendte på 20 og 21 år.

Det var Rejsekort A/S, der opdagede svindlen og anmeldte den til politiet. Selv om Rejsekort A/S kunne se på deres it-systemer, at flere rejsekort blev misbrugt, valgte organisationen efter aftale med politiet ikke at spærre kortene straks, så politiet kunne få tid til at identificere svindlerne, blandt andet gennem videoovervågning på stationer.

Københavns Byret har afsat halvanden dag til retssagen, hvor anklageren går efter fængselsstraffe til de fem tiltalte, der også alle begæres udvist af Danmark efter dom.

Sponseret indholdSådan udfordrer DevOps din sikkerhed – og sådan løser du problemet
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Jan Vennike

Det er faktisk på kortet at det gældende beløb ligger - eller ihvertifald i en periode.

Tænk på busser - de er jo ikke online med rejsekortet, så derfor trækker de penge fra det beløb der står på rejsekortet og sætter det nye beløb "ind" på kortet.

Når de så kommer i garage så synk'er de med online. Det er også det der gør at ihvertifald herude på landet hvor jeg bor, kan det tage 2-3 dage før penge sat ind på rejsekortet, faktisk registreres på kortet hvis det skal ske via lokalbussen. Så de bliver ikke engang synk'et med online hver dag, men måske hver anden eller tredje.

  • 7
  • 0
#5 Karsten Nyblad

Det der skrives på kortet, burde være digitalt signeret. Gad vide om det er inkompetence eller at der ikke har været computer ressourcer til at gøre det. Det skal gå hurtigt, når man holder kortet op til det blå punkt, så det kan være, designerne ikke har følt, der var tid til at beregne signaturen.

  • 0
  • 0
#6 Christoffer Kjeldgaard

Krypto har man åbenbart heller ikke rigtigt gide anvende?

Lad mig starte ud med at sige vi så vidt er enige om at svindelnummeret som er nævnt her er simpelt, og sikkerhedsforanstaltninger burde være tænkt ind i rejsekortets design.

Men, kryptering kommer på bekostning af 3 parametre, henholdsvis ydelse, plads og kompleksitet, hvor især ydelse er et kritisk parameter for rejsekortet. Maskinen i bussen / toget / etc. skal være hurtig nok til at kunne læse kortet, checke at kortet er læst korrekt, dekryptere data, opdatere data, kryptere data og sende den tilbage til kortet, checke at kortet er opdateret korrekt. Det er bestemt muligt, men bare 5 sekunder ekstra per passager kan nedsætte brugertilfredsheden gevaldigt, og det koster i effektivitet. Alternativet er at skrue ned for krypteringsalgoritmens sikkerhedsniveau for at få hastigheden op.

Kompleksitet bliver også en hovedpine - maskinerne i bus og tog skal nu være forsvarligt aflåst og sikret mod uautoriseret adgang, fordi hovednøglerne bliver nødt til at ligge lokalt på maskinerne. Så snart en af hovednøglerne er blevet stjålet og kommet i omløb, så er vi lige vidt.

NFC-kort som disse vil altid være mulige at bryde, så længe informationen på dem er værdifuld nok. Det eneste alternativ er en semi-online løsning, hvor informationen godt nok caches i busserne, men opdateres eksempelvis hver halve time, og det eneste der ligger på kortet er et ID-nummer.

Derudover er der spørgsmålet omkring moral. Der burde ikke være nogen tvivl hos nogen om at fremgangsmåden vist her er kriminel, og let at opdage. Der er overvågning i de fleste busser, så politiet kan forholdsvist let undersøge sagen og anholde de formodede gerningsmænd - Så hvad er problemet? Svindel med klippekort, billetter, mobilbilletter og månedskort er væsentligt sværere at spore og opdage, i forhold til disse scenarier har rejsekortet tilsyneladende en fordel.

  • 12
  • 0
#10 Jens Sorensen

Jeg har svært ved at se grunden til al den diskussion omkring kryptering i denne sammenhæng.

Der er nogen der har gjort sig ekstra ulejlighed i at snyde med deres rejsehjemmel og er blevet fanget med bukserne nede. Folk der kører uden billet kan også blive fanget. Folk der forfalsker enkelt billetter kan også blive fanget. Osv osv.

Der vil altid være nogen der prøver at snyde systemet og det må man leve med hvis vi skal leve i et tillidsbaseret samfund. Når disse så bliver fanget skal de selvfølgelig dække de "skader" de har forvoldt. Det er jo en chance man tager.

Der er manget andre ting man kan kritisere rejsekortet for, men dem vil jeg gemme til en anden god gang.

  • 9
  • 1
#11 Christoffer Kjeldgaard

Så i stedet for en almindelig kontrollør, så er det nu politiet, som skal ind over. De er sikkert både billigere og har bedre tid, eller noget.

? Jeg kan forsikre dig for at politiet før rejsekortet også var inde over forfalskning af billetter og rejsehjemmel. Der er forskel på forsætlig forfalskning og uvidenhed / skødesløshed (jeg har glemt mit rejsehjemmel / jeg troede stadig det var gyldigt).

  • 8
  • 1
#12 Anders Metnik

Jeg kunne ikke være mere enig. Jeg synes ofte at vi ser folk herinde som går helt op i det røde p.g.a. ting ikke er det i det højeste lag af sikkerhed m.v.

Jeg ser er intet problem i at der er mulighed for at lave sådanne forfalskerier, da de bliver opdaget senere af deres system\statistikker og så kan der tages handling derefter.

  • 3
  • 2
#13 Christoffer Kjeldgaard

Med alle de designfejl der er i Rejsekortet, mener jeg stadig at den eneste løsning er at skrotte projektet.

Nu er svindel med rejsehjemmel for rejskortet hverken et stort problem eller specielt kritisk. Politiet tager sig af de sager der måtte være, og der er gode muligheder for at efterforske forbrydelsen effektivt. At skrotte systemet på det grundlag er nok lige drastisk nok. Jeg ville nok overveje at forbedre dele af systemet på sigt, f. eks. ved at opsætte WiFi-master omkring på ruterne, og lade systemet synkronisere så asynkront som muligt - men det er også et spørgsmål omkring økonomi.

  • 4
  • 2
#15 Peter Brodersen

Jeg kan forsikre dig for at politiet før rejsekortet også var inde over forfalskning af billetter og rejsehjemmel. Der er forskel på forsætlig forfalskning og uvidenhed / skødesløshed (jeg har glemt mit rejsehjemmel / jeg troede stadig det var gyldigt).

Jeg mindes da vi fik pantmærker på vores emballage. Ekstra Bladet skrev en artikel om, at systemet var komplet tåbeligt og usikkert, idet enhver blot kunne printe pantmærker ud og sætte dem på deres dåser uden pant på.

Hvorefter nogen prøvede det dagen efter og blev opdaget, tilbageholdt og anholdt. Under afhøringen fortalte de, at de havde læst om tricket i Ekstra Bladet ...

  • 5
  • 1
#17 Maciej Szeliga

Tænk på busser - de er jo ikke online med rejsekortet, så derfor trækker de penge fra det beløb der står på rejsekortet og sætter det nye beløb "ind" på kortet.

Ja, tænk på busserne... i de selv samme buser sidder der et infosystem / reklamesystem som er online... men billetsystemet er offline. Det er jo ikke de rejsende som vi tjener pengene på vel ?

Det kan sgu ikke være så svært med et online system, det er ikke det helt store datamængder der skal frem og tilbage.

I øvrigt kunne man (som man har i andre lande) have billetsystemet ved stoppestedet og så vil man kunne (EKSTRA BONUS!!) bruge alle dørene til både ud- og indstigning.

  • 2
  • 3
#18 Christoffer Kjeldgaard

Det kan sgu ikke være så svært med et online system, det er ikke det helt store datamængder der skal frem og tilbage.

Der er principielt 2 typer af online scenarier, 100 % online, eller online med caching.

I 100 % scenariet er datamængden uvæsentlig sammenlignet med svartid og stabilitet på internetlinjen. Rejsekortet skal fungere over alt, selv i dele af landet hvor der ikke er teledækning og under Roskilde festival hvor forbindelsen deles med op mod 130.000 festivalsgæster. Det er utænkeligt at rejsekortet kan holde en stabil drift i sådanne situationer; og på landet hvor der kun er edge kan der forventes en svartid mellem 200 ms og op til 4 sekunder, alt efter hvor belastet nettet lige er.

Online med caching er mere realistisk, fordi der løbende kan opdateres afhængigt af om dataforbindelsen er der eller ej. I det scenarie er datamængden tilgengæld væsentlig, fordi bussen skal have en så komplet mængde af databasen som muligt - det er ikke billigt på en mobil forbindelse.

  • 2
  • 1
#20 Steen Thomassen

Rejsekortet har en lang række problemer, hvor dette er et af de mindre. Samlet set, så bør Rejsekortet skrottes.

Hvad skal så afløse det? En andet smart-card løsning? En mobil-løsning som er umulig til daglig brug og kræver en smart-telefon med strøm? Eller de nye kontobaseret systemer, hvor det kontaktløse betalingskort bruges i stedet? Det er det nye trend på billetmarkedet, som London har en af de første at tage i brug! Udstyr til klippekort er væk fra leverandørerne kataloger.

  • 0
  • 0
#21 Jesper Lund

Hvad skal så afløse det? En andet smart-card løsning? En mobil-løsning som er umulig til daglig brug og kræver en smart-telefon med strøm? Eller de nye kontobaseret systemer, hvor det kontaktløse betalingskort bruges i stedet?

En privacy-by-design løsning. Kravene er ret enkle

  1. Borgeren skal kunne fremvise en gyldig billet for rejsen ved kontrol
  2. Ingen identifikation ved køb af billet eller kontrol (medmindre afgift for manglende billet skal udstedes)
  3. I back-end systemer må det ikke være teknisk muligt at sammenkæde to rejser
  • 1
  • 0
#22 Steen Thomassen

@Jesper Lund Du er god til at stille krav - hvordan kunne man komme der til man får noget, som er privacy-by-design? Hvad er løsningerne? Det store problem er at ingen levere løsninger af den slags. Desværre.

  • 0
  • 0
#23 Jesper Lund

Du er god til at stille krav - hvordan kunne man komme der til man får noget, som er privacy-by-design? Hvad er løsningerne? Det store problem er at ingen levere løsninger af den slags. Desværre.

Unlinkability mellem hævning af digitale penge og hvad de bruges til blev løst for 30 år siden af David Chaum (med blændede certifikater) https://en.wikipedia.org/wiki/Ecash

Men der er $$$ i at overvåge borgerne plus den religiøse tro på big data, som rejsekortselskabet også lider af.

  • 3
  • 0
#24 Steen Thomassen

@Jesper Lund Ikke er en god løsning, når der ikke er implementeret nogen steder. Der mangler nogle cases i stor skala, hvor det bliver brugt.

Rejsekort skulle være et standardløsning og det udstyr, som er i på stationer og busser, er standardudstyr. Men hvis det skal batte noget med privacy-by-design, skal være en del af grundsystemet. Men ingen er nået til det. Jeg tvivler på om der er politisk vilje til at være first mover på det, når meget andet er gået galt i dette projekt.

Og trenden går imod kontobaseret systemer, hvor alle transaktionerne på rejser bliver samlet centralt og prisen for en periode bliver udregnet, når alle data er kommet frem. Fx London håndteres på dette måde og de skal have en uges rejser for at kunne udregnet om en rejsende har nået det "weekly cap". Så det er op ad bakke her.

På planlægningssiden, så mangles der data. Fx ved man ikke hvordan brugerne med periodekort til alle zoner bruger deres kort. Data, som skulle bruges til beslutninger, som påvirker mange, som rejser og hvor der er fare for at der tages de forkerte beslutninger.

  • 0
  • 0
#25 Gert Madsen

"hvor der er fare for at der tages de forkerte beslutninger" Ha,ha. Så længe udgangspunktet er trafikselskabernes ønsker, og ikke brugernes behov, så er det småt med de rigtige beslutninger.

  • 0
  • 0
Log ind eller Opret konto for at kommentere

Twitter redegør for stort angreb og forbedrer sikkerheden

2

Pistoler, hash og kokain: Dansk politi lukker pushersite med tråde til det mørke net

2

Hackere spredte falske nyheder om Nato på østeuropæiske nyhedssider

4
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Øget effektivitet, fleksibilitet og muligheder for hjemmearbejde med Cisco Webex
Whitepaper
Whitepaper
Enabling Your At-Home Workforce: Three Tips for Successful Collaboration
Webinar
Webinar
Webinar: Sådan forbereder du din virksomhed til remote working
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder