15:04
27/3/2019

Rower Metropolitalny Mevo ma być najnowocześniejszym systemem roweru miejskiego w Europie. Niestety już na wstępie nasi czytelnicy dostrzegli pewne problemy z bezpieczeństwem, zresztą systemy rowerów interesują ich pod tym kątem nie od dziś.

Rower trójmiejski (fot. rowermevo.pl)

MEVO to projekt z wykopem – trzeba to powiedzieć. Na system ma się składać ponad 4 tys. rowerów wspomaganych elektrycznie, które będą dostępne dla mieszkańców i turystów z Gdańska, Gdyni, Sopotu, Tczewa, Pucka, Redy, Rumi, Kartuz, Sierakowic, Somonina, Stężycy, Władysławowa, Żukowa i Pruszcza Gdańskiego. Rowery mają też moduły GPS i elektrozamki.

Mapka stacji robi wrażenie

System wystartował wczoraj (26 marca). Już 14 marca ogłoszono, że operator będzie rozstawiał rowery na ulicach 14 gmin. Na 660 stacjach ma się znaleźć ponad 1200 rowerów (czyli 30% wszystkich docelowych rowerów).

Niestety – jak już wspomnieliśmy – jeszcze przed uruchomianiem systemu pojawiły się pewne zastrzeżenia co do bezpieczeństwa.

Ktoś pcha łapy pod błotnik? Uważaj!

Będzie możliwość połączenia konta systemu z kartą zbliżeniową RFID. Z instrukcji wynika, że kartę będzie można połączyć z rowerem w trakcie trwającego wypożyczenia. W tym celu trzeba przyłożyć swoją kartę RFID do czytnika znajdującego się nad tylnym błotnikiem wypożyczonego roweru.

Czy przyłożenie swojej karty do czytnika w rowerze innej osoby spowoduje możliwość podłączenia się pod czyjeś konto? To użytkownicy Wykopu chcieliby wiedzieć. Jeden z użytkowników opublikował zrzut, który zdaje się coś wyjaśniać.

Aplikacja MEVO

Z tego zrzutu wynika, że proces skanowania trzeba rozpocząć klikając przycisk w aplikacji. To byłoby jakieś zabezpieczenie, ale my i tak spytaliśmy o tę sprawę Marka Pogorzelskiego (rzecznika firmy Nextbike, do której należy firma NB Tricity, operator MEVO). Spytaliśmy wprost, czy jest możliwe “złośliwe” sparowanie karty RFID z cudzym kontem?

Opisany przez Pana przypadek rzeczywiście w teorii jest możliwy. Należy zwrócić jednak uwagę, że takie sparowanie karty z kontem zajmuje co najmniej kilka sekund, korzystając z roweru trudno się więc nie zorientować. Ponadto, co warto zaznaczyć, użytkownik ma dostęp do wszystkich informacji o wypożyczeniach dokonywanych przy wykorzystaniu jego konta. W takich sytuacjach, gdy dostrzeże się jakieś niepokojące informacje, należy jak najszybciej skontaktować się z całodobową infolinią i wyjaśnić sprawę.

Podmiana numeru telefonu

Inny Wykopowicz zrobił literówkę i zarejestrował konto MEVO na zły numer telefonu. Następnie numer ten został zmieniony w toku rozmowy z konsultantem, a wyglądało to tak, że wystarczyło podać numer telefonu i adres(!). Dokumentacja sprawy poniżej.

 

 

Adres zamieszkania i telefon to zestaw danych, który można zdobyć na wiele sposobów. Tymczasem podmieniając numer telefonu na koncie będziemy w stanie zresetować PIN. Rzecznik Nextbike Marek Pogorzelski przyznał, że była to wpadka konsultanta.

Nasz konsultant wyraźnie popełnił błąd nie stosując procedury pełnej weryfikacji, która w takich sytuacjach jest wymagana. W takich sytuacjach – i nie dotyczy to jedynie systemu MEVO – weryfikujemy przedstawione przez Użytkownika informacje m.in. poprzez kontakt telefoniczny z oboma numerami.

Dodajmy, że na kontach użytkowników znajdują się ich numery PESEL. Zresetowanie PIN-u może się wiec skończyć wyciekiem danych, które zostaną wykorzystane do dalszych oszustw. Samo resetowanie PIN-u odbywa się przez taką oto stronę.

Użytkownicy Wykopu zastanawiali się nawet, czy odpowiednim skryptem ktoś nie mógłby zresetować wielu PIN-ów na raz? Być może strona ma zabezpieczenie przed takim atakiem, ale pewności nie mamy (i nikogo nie zachęcamy do eksperymentów, żeby to było jasne).

Podobna historia z przeszłości

MEVO nie jest pierwszym systemem roweru miejskiego, w którym obserwowaliśmy podobne problemy. Już dawno temu (w roku 2017) jeden z naszych Czytelników doniósł nam o tym, jak otrzymał PIN do swojego konta przez… Facebooka. Sprawa dotyczyła Veturilo, czyli warszawskiego roweru miejskiego. Spójrzcie na zrzuty z rozmowy z konsultantem.

Coś chyba poszło nie tak…

Odpowiedź konsultanta sugerowała, że weryfikacja “facebookowa” (przez imię i nazwisko) jest jakąś ustaloną procedurą. Spytaliśmy o sprawę Marka Pogorzelskiego z firmy Nextbike Polska. Okazało się, że to również był ludzki błąd.

To oczywiście niedopuszczalny błąd, który nie powinien się pojawić. Wobec pracownika zostały już wyciągnięte konsekwencje. Dodatkowo przypomnimy raz jeszcze pozostałym pracowników zasady dotyczące weryfikacji danych osobowych tak, by mieć pewność, że podobna sytuacja nie wydarzy się w przyszłości.

I jeszcze jedna przygoda…

To również było dawno temu. Nasz Czytelnik chciał wypożyczyć rower Veturilo, ale na ekranie stacji wyświetlała się jakaś nietypowa konsola.

Nie mając klawiatury nie mogłem nic z nią zrobić. Z początku bardziej byłem skupiony na wypożyczeniu roweru. Chcąc przejść do aplikacji starałem się użyć znanej metody dotykając palcem w prawy górny róg. Niestety, to nie pomogło a dodatkowo zostałem przekierowany do okienka przeglądarki w której tworzyłem profil użytkownika. Aby utworzyć ‘profil’ (czymkolwiek on był) musiałem podać ścieżkę z dysku (podstawowa ścieżka zaczynała się /root/.mozilla/ co by znaczyło że przeglądarka działa z uprawnieniami roota). W ten sposób uzyskałem dostęp do całej struktury folderów w systemie operacyjnym. Dowiedziałem się że aplikacja stoi na Debianie. W katalogu /root/ znajdowało się dużo plików, skryptów i między innymi była tam zainstalowana ta nieszczęsna przeglądarka (…) Jestem tym zaniepokojony, ponieważ skoro ja mogłem zdobyć tyle informacji na temat tego urządzenia w 5 min, to równie dobrze mógłby zrobić to ktoś inny, kto później by z kont innych ludzi mógł wypożyczać i nie oddawać rowery, obciążając konta użytkowników Veturilo.

Dostaliśmy zdjęcia na dowód.

Marek Pogorzelski poprosił, abyśmy umożliwili firmie Nextbike skontaktowanie się z Czytelnikiem. Nie ujawniamy naszych źródeł, ale przekazaliśmy Czytelnikowi dane kontaktowe do pana Marka. Z tego co dowiedzieliśmy się później, nasz Czytelnik nie skontaktował się z Nextbike, ale problem i tak został zdiagnozowany i rozwiązany.

Rzecznik napisał również…

Użytkownik uzyskał dostęp do plików zgromadzonych na terminalu. Nie uzyskał dostępu do danych osobowych innych użytkowników, nie mógł też z tego poziomu zarządzać cudzym kontem. System umożliwił mu stworzenie profilu użytkownika tak, jak może to zrobić każdy z poziomu oprogramowania terminala rejestrując się przy jego pomocy w systemie Veturilo.

Sugerujemy porównać ten przypadek z innymi doniesieniami o atakach na biletomaty i infokioski. No i wypada jeszcze dodać, że warszawski rower miejski kiedyś “straszył” klientów brakiem HTTPS przy podawaniu danych karty kredytowej.

Nie chcemy nikogo zniechęcać do jazdy na rowerze i naprawdę liczymy na to, że operatorzy rowerów miejskich dopracują swoje systemy w zakresie bezpieczeństwa w najdrobniejszych szczegółach. Nasi Czytelnicy jeżdżą rowerami i chcąc nie chcąc będą w tym pomagać :).

Przeczytaj także:

39 komentarzy

Dodaj komentarz
  1. To jakieś nieporozumienie, że trzeba podawać PESEL.

    • Nieporozumieniem jest traktowanie PESEL jako “sekretu”. Jest to po prostu unikalne ID osoby i jako takie powinno być traktowane.

    • PESEL to zło. Również jako unikalne ID., bo nie można go zmienić w razie wycieku. Dlatego nawet jeśli nie traktujemy go jako sekretu, to i tak nie należy żądać tej informacji. Zamiast niej można wziąć numer dokumentu ze zdjęciem.

    • @Luke
      Skoro unikalny, to chciałbym go uniknąć przy rejestracji.

    • Numer PESEL powinien być stosowany tylko w relacjach obywatel – urząd.

    • PESEL sam w sobie nie powinien być wystarczający jeśli chodzi o identyfikację klienta/petenta. Powinny być dodatkowe kroki uniemożliwiające wykonanie komuś operacji w cudzym imieniu, bo ten znalazł gdzieś zeszyt z pospisywanymi PESELami.

  2. No póki co to takie bez szału te ‘podatności’..

    Jadę na majówkę, na pewno sobie pojeżdżę ;)

  3. No wlasnie, bez PESEL nie mozna???

    • Można, wystarczy wybrać podczas rejestracji inny kraj niż Polska :)

  4. Ktoś Wam pożycza rower warty 12k PLN i nie chcecie nawet PESEL podać? Zaufanie działa w obie strony.

    • “Zaufanie” nie ma tu nic do rzeczy. To nie jest mój przyjaciel tylko usługodawca.
      To na czym się należy skupić to analiza ryzyka i układu sił.

      Kto może stracić, jak wiele i jakie tego będą konsekwencje?

      Usługodawca może stracić (niewątpliwie ubezpieczony)
      sprzęt wart 12k. W razie utraty dostanie odszkodowanie a ubezpieczyciel z pewnością zatroszczy się o to żeby ująć złodzieja. Nie oszukujmy się, sprawa w której poszkodowanym jest spółka z wielomilionowym kapitałem będzie traktowana przez organy ścigania zupełnie inaczej niż Kowalski któremu ktoś “wziął kredyt”. Warto w tym miejscu zaznaczyć że posiadanie PESELu prze usługodawcę nie wpływa istotnie na ryzyko takich zdarzeń (kradzież portfela, słupy i co chyba najbardziej oczywiste – po co komu to wszystko jak wystarczy rower zapakować na dostawczaka z jammerem GPS)

      Ty możesz stracić bardzo wrażliwe dane, w konsekwencji czego będzie wisieć na tobą groźba spłaty kredytu którego nie wziąłeś, iPhona którego nie kupiłeś czy Bóg wie czego jeszcze. Nie wspominając o kosztach (wyrobienie nowych dokumentów, pomoc prawnika, może nawet walka z komornikiem) oraz stracie czasu i nerwów przy udowadnianiu że jakiś gównobank z którym nie miałeś do czynienia udzielił człowiekowi którego nie znasz pożyczki na twoje dane i nie masz zamiaru odpowiadać finansowo za niekompetencję obcych Ci ludzi. A teraz wisienka na torcie: nie możesz obciążyć tymi kosztami usługodawcy w razie wycieku, bo musiałbyś udowodnić że oszust wziął twoje dane właśnie z tego źródła (powodzenia, już to widzę: “halo, szanowny Panie oszuście, czy mógłby mi Pan poświadczyć na piśmie skąd miał Pan moje dane?”, śmiechu warte). A jeśli nawet usługodawca zostanie przez GIODO ukarany milionową grzywną to Ty nie zobaczysz z tych pieniędzy nawet złotówki.

      Gdzie w tym wszystkim jest to twoje “zaufanie”? Nie wiem, gdzieś może jest, ale warte jest mniej niż papier którym się podcieram na kiblu.

    • Może najwyższa pora przestać traktować PESEL jako tajne hasło autoryzujące operacje bankowe. Przecież jego zastosowanie jest podobne do imienia i nazwiska, z tym że pozwala na jednoznaczne określenie o którego Jana Kowalskiego chodzi. Jeżeli zamiast PESEL użyjemy czegoś innego w celu jednoznacznego określenia osoby, np, adresu zamieszkania, imienia ojca, rodzaju posiadanego samochodu to ten element zaraz stanie się kluczem do brania kredytów, zawierania umów, itp.

    • Hmm, skąd wziąłeś kwotę wyceny za rower?
      Podpowiem, że najtańsze elektryki w jednej z sieci supermarketów kosztuję 1900 PLN, nawet dodając do tego osprzęt GPS plus blokada elektryczna, nie powinno wyjść więcej jak 3 do 3500 PLN. A porównywałem ów sprzęt z dostępnym w NextBike/Mevo- dużo lżejszy, większe koła, hamulce z przodu tarczowe- pisać dalej?
      Co do wytoczonej sprawy- przedstawiam, że sprzęt był używany, co za tym idzie nie wart więcej jak 500 PLN, sprawa zmienia się w wykroczenie, płacę owe 500 plus koszty sądowe, jeżeli przegram.

      Współpraca Mevo/Venturilo- nawet gdy działała Trójmiejska Sieć Rowerowa, mimo że zarówno Warszawa, jak i Gdynia i Sopot były obsługiwane przez NextBike, nie były możliwe wzajemne rozliczenia.

  5. Ten system był wdrażany w bólach, ze sporym poślizgiem (bo m.in. aplikacja nie działała poprawnie) i pod presją kolejnych kar finansowych za kolejne opóźnienie. Efekt jest do przewidzenia – pierwsi użytkownicy będą betatesterami, którzy poniosą konsekwencje istniejących błędów. Już po pierwszej dobie widać że GPS nie działa poprawnie – często naliczane są kary za pozostawienie poza stacją roweru zwróconego na stacji; 3 zł to pryszcz – ale kilkaset czy kilka tysięcy już niekoniecznie. Zapewne większe fraudy też są tylko kwestią czasu, podobnie jak wyciek kompletu danych osobowych; peseli, kont bankowych, przypiętych kart, telefonów, maili – zanim baza nie będzie lepiej zabezpieczona.

    • Jeżeli chodzi o problem z tym, że system czasem nie wyłapuje zwrócenia roweru – rzeczywiście czasem się tak zdarza ale wystarczy zadzwonić na infolinie i wszystko tam załatwią. W moim wypadku ten felerny przejazd był darmowy a zorientowałem się o tym dopiero następnego dnia rano.

      Po każdych trzech godzinach od wypożyczenia wysyłany jest SMS z informacją o niezwróconym rowerze, więc straszenie opłatami na kilkaset złotych to lekka przesada. :P

      Komentarz na podstawie moich doświadczeń z Veturilo ale skoro firma matka ta sama(jak widać błędy też :) ) – to procedury powinny być podobne.

    • Tak, w Mevo też zwracają te 3 zł jeśli naliczy się pomyłkowo. Wystarczy kontakt z BOK i nie ma problemu. Zresztą błędy GPS zazwyczaj nie są duże. Tak na oko działa podobnie jak moduły GPS w komórkach (czyli błędy są gdy wokół są wysokie budynki). Zdarza się natomiast jeszcze, że na obrzeżach źle oznaczyli lokalizację stacji. No, ale poprawiają w miarę szybko. Osobiście uczestniczyłem w beta testach i na razie jestem zadowolony z czasu reakcji. Mam nadzieję, że później też będzie dobrze.

  6. To aż dziwne, że ktoś odważył się postawić oprogramowanie stacji na Debianie! Większość tego typu maszyn w tym biletomaty, kioski a nawet bankomaty stoi na systemie od firmy M. :)

  7. Kurła – jeździć tymi rowerami, a nie hacking uprawiać. Tak na poważnie, to zarejestrowałem się, ale już sam proces rejestracji budził moje zastrzeżenia. Choćby adres e-mail, podajemy go w formularzu tylko raz, tak samo numer telefonu. Nie trudno o błąd..

    • Maila akurat trzeba potwierdzić (aktywować konto), więc szansa na pomyłkę nie jest szczególnie duża.

    • Jestem za, każde pole powinno być powtarzane 10krotnie.

    • “Jestem za, każde pole powinno być powtarzane 10krotnie.” I oczywiście za każdym razem wpisywane ręcznie (uwielbiam to zabezpieczenie przy kopiowaniu 20-znakowego losowego maila / hasła z keepassa).

  8. Warto zauważyć, że przy resetowaniu hasła w nextbike wystarczy podać UWAGA tylko numer telefonu. Co w praktyce oznacza, że można co chwile komuś resetować hasło lub po uzyskaniu dostępu do bazy numerów zrobić to zbiorowo. Zgłaszane do nextbike. Niestety bez reakcji.

  9. Nie jest wart 12tys. Kupione w Niemczech chińskie badziewie, kupione za 3tys warte 500 ha ha

  10. Poczytajcie proszę regulamin MEVO.
    Jest opcja rejestracji uproszczonej bez peselu – przy podłączeniu karty płatniczej i wpłacie kaucji.

    A czy działa w praktyce – nie testowałem :)

    • Widział ile ta kaucja kosztuje ? :P Jest to alternatywa, ale liczą sobie dobrze.

  11. Moim zdaniem to sprawa dla GIODO, po co firmie PESEL, również innym od parkingów płaconych komórkami, itp. Telefon już jest zarejestrowany i w razie potrzeby można odnaleźć delikwenta przy pomocy “organów”.

  12. Hmm kontaktujemy sie telefonicznie na oba numery. Co za bzdura,skoro zly numer ppdam to jak ma go odebrac zeby potwierdzic ze jest zly haha

    • Nie Ty masz odebrać. Ten co odbierze potwierdzi, że się nie rejestrował.

    • Siedzisz sobie w pracy i dzwoni co telefon:
      -halo?
      -Dzień dobry, tu Mevo, czy rejestrował pan dzisiaj konto u nas?
      -Eeee, jakie konto, nie wiem o co chodzi…

      Po prostu chcą mieć potwierdzenie, że zgłoszony błędny numer faktycznie jest pomyłką. Nie dodzwonią się nigdzie, bo numer nie jest aktywny lub trafią na kogoś, kto nie rejestrował się.

  13. To w końcu aby dodać zbliżaka trzeba nacisnąć przycisk w aplikacji czy nie? Chętnie bym się w takiego zaopatrzył – niby w regulaminie podana jest jakaś norma i standard ale nie umiem drukować.
    Aplikacja o dziwo jest spoko ale nie przebija się w wynikach wyszukiwania w Google Play: https://play.google.com/store/apps/details?id=com.mevo.app
    Czy aplikacja Nextbike jest kompatybilna?

  14. Drukować => drutować
    Cholerny Gboard nie szanuje artystów druciarzy

  15. Jakieś 6-7 lat temu naszła mnie chęć pozwiedzania Brukseli na rowerze. Pod hotelem była stacja, więc wybrałem jeden rower, włożyłem kartę kredytową do czytnika, wpisałem PIN i pojechałem. Tyle. Teraz trzeba zakładać konta, zasilać je, instalować aplikacje, wpłacać kaucję – bez sensu. W Krakowie jedno konto, w Warszawie drugie, w Gdańsku trzecie, i gdziekolwiek jeszcze będę kolejne? Wszystko to tylko sprawia, że raczej na pewno nie będę korzystał z takich atrakcji.

    • A było tak pięknie – w większości polskich miast był next bike na jedno konto, ba podobno działało też za granicą np. w Berlinie… Założenie sobie drugiego konta u mniej monopolistycznych operatorów też było proste i szybkie.

      Swoją drogą – najbardziej userfriendly system był kiedyś w Danii – wrzucało się monetę jak do wózka sklepowego, a po przypięciu do stacji odbierało.

  16. Wczoraj testowałem. Około godziny 16:15 przy stacji stało kilka osób broniących wypatrzonego roweru i próbujących zalogować się do aplikacji bez skutku – w tym ja.

  17. Czy ktoś z was składał skargę u GIODO na zbieranie PESELU?

  18. Panoptykon składał, ale ciągle brak odzewu…
    https://panoptykon.org/wiadomosc/pesel-potrzebny-do-wypozyczenia-roweru-miejskiego

  19. Mozna bez pesel. Wystarczy wstawic dowolny z generatora. Nie wiem czyz dzialaja pesele np z 2019 roku albo z przyszlosci. Ogolnie system jest dziurawy jak sito.

  20. A do rezerwacji mozna bota i noe trzeba nic pilnowac. Sprawdzone, polecam :)

  21. […] który publicznie tematu nie podjął, ale trzeba przyznać, że wcześniej napisali artykuł o innym ciekawym problemie związanym z Mevo. Ze strony Mevo kontaktu nie było (podejrzewam zresztą, że nie byliśmy jedynymi osobami, które […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: