8:58
22/3/2018

Wrocław wdraża kodowanie biletów przez karty płatnicze (zbliżeniowe). Pisaliśmy już o tym rozwiewając mity i lęki związane z ewentualnym okradaniem pasażerów przez “fałszywych kanarów” w dwóch artykułach, Czy można kogoś zbliżeniowo okraść w autobusie i tramwaju oraz Karta płatnicza jako bilet autobusowy przeraża i bulwersuje mieszkańców Wrocławia. Potem informowaliśmy o tym, że Google Pay rozwala biletomaty we Wrocławiu, jeśli chce się zapłacić telefonem. Teraz pojawił się nowy problem…

Aktualizacja oprogramowania na dopiero co wdrożonych nowych biletomatach we Wrocławiu przeraża niektórych pasażerów. Pasażerowie przykładając kartę płatniczą do kasowników/biletomatów widzą komunikat, że jest ona zastrzeżona:

Komunikat jest niefortunnie dobrany, bo pasażerowie myślą, że karta jest całkowicie zastrzeżona, a tak naprawdę chodzi o blokadę jej używania tylko w ramach wrocławskiego MPK. Mennica w wypowiedzi dla Gazety Wrocławskiej wyjaśnia, że

Komunikat „karta zastrzeżona” pojawia się na kasowniku wyłącznie w sytuacji, w której pasażer próbuje dokonać zapłaty kartą, która trafiła na tzw. „czarną listę”. Karta może trafić na „czarną listę” tylko wtedy, gdy wcześniejsza transakcja zakupu biletów dokonana tą samą kartą nie została prawidłowo rozliczona – np. z powodu braku środków na koncie. W takiej sytuacji pasażer jest zobowiązany udać się do Biura Obsługi Klienta, opłacić nierozliczoną transakcję i dopiero na tej podstawie jego karta zostanie wycofana z „czarnej listy” i nie będzie odrzucana przez kasowniki Mennicy Polskiej.

Większość pasażerów i czytelników którzy kontaktowali się z nami w tej sprawie uważa, że to kpina. Twierdzą, że nie wygenerowali żadnych nierozliczonych transakcji, a na pewno nie ze swojej winy (np. przez brak środków na karcie). Nie mają więc zamiaru tracić swojego czasu i podróżować do BOK-u. Są też rozgoryczeni, że taki błąd blokuje im możliwość korzystania z — jak sama Mennica twierdzi — wygodnego i bezpiecznego systemu sprzedaży biletów.

Jesteś z Wrocławia? A wiesz, że w poniedziałek będziemy we Wrocławiu z naszym bestsellerowym wykładem pt. Jak nie dać się zhackować? na który przyjść może każdy? W 3h pokażemy na żywo wiele ataków, którymi codziennie cyberprzestępcy atakują Polaków i powiemy jak zabezpieczyć przed nimi swój komputer i smartfon. Jest jeszcze kilka wolnych miejsc, więc zapraszamy do ich rezerwacji!

PS. Co ciekawe, jeden z czytelników twierdzi, że biletomaty są oparte o …RaspberryPi. Ciekawi nas stabilność takiego wdrożenia — czy malinka przetrwa temperatury?

Przeczytaj także:

68 komentarzy

Dodaj komentarz
  1. To już wiem dlaczego nie mogłem używać karty we Wrocku… okropny system.

    • Dla mnie system jest wygodny i całkiem nowatorski. Problem w tym, że został wdrożony w dużym pośpiechu i obecnie pasażerowie robią za beta-testerów. Myślę, że z ostateczną oceną poczekałbym z miesiąc lub dwa – wtedy będzie wiadomo, czy Mennica podoła zadaniu i ustabilizuje wszystko jak należy.

      Nie jest on oczywiście pozbawiony niedociągnięć. Np. czekam na przypadek, kiedy pasażer mimo potwierdzenia na ekranie urządzenia, że kupił bilet dostanie mandat, bo z jakichś powodów terminal kontrolera uzna, że jednak biletu nie ma.

    • Spox, poczekam – będę w tym czasie wszędzie jeździł autem, bo biletomaty nie akceptują żadnej z moich dwóch kart a SkyCache też nie działa.

    • @Krzysztof płacąc Peopay przez tron, nietrudno o taką sytuację.

    • Mi dzisiaj też “zastrzegło” kartę. Oczywiscie srodki na karcie były. Nie mam zamiaru tracić czasu przez indolencję twórców tego systemu i przesiadam sie na rower.

    • @Kamil – wg regulaminu MPK w takiej sytuacji możesz jeździć za darmo.

  2. Moja kobieta płaci za bilety przez Android Pay, już nie zawiesza biletomatów ale za ostatni bilet za 1,50zł zabrało jej z konta 11,50zł :)

    • Dlatego warto kupować w kiosku bilety. Jak zginie 10zł to kioskowemu – niech on się sprzecza z ZTM.

    • Słowo którego szukasz to chargeback. To jedyny sposób żeby takie błędy przestały się “zdarzać” i być bagatelizowane. Być może komunikacja miejska nie jest wystarczająco odpowiedzialna żeby obsługiwać karty płatnicze i nie powinna tego robić.

  3. wtf!? Jedziesz sobie tramwajem, bo wiadomo smog. Jako prawilny obywatel, chcesz upic bilet i zonk- kart zastrzeżona. Tego się nie chce komentować nawet, za 174 mln, gratulacje. Więcej tego błędu nie popełnię i dołożę swoją cegiełkę do zanieczyszczenia powietrza :)

    • Rowerem lepiej korki omijaj ;)

    • No ale dzięki temu możesz jeździć za darmo, bo to błąd po stronie systemu i wg regulaminu MPK nie ma podstawy do wystawienia mandatu.

  4. Jak się wywalają do terminala to prompt mówi “raspbian”. Nie daje to stuprocentowej gwarancji że to rpi, ale nie słyszałem jeszcze o ludziach, którzy by wrzucali raspbiana na inne urządzenia niż rpi.

    • Mozna czasem zobaczyc jak sie raspbian bootouje czasami. A przynajmniej mozna bylo. Ale nie daje to dalej gwarancji ze to rpi

  5. Pytanie tylko czy zwykłe RPi, czy Compute Module.
    BTW dlaczego miałaby nie przetrwać temperatury? ;) W autobusie nawet bez klimy raczej wyższych temperatur niż 40 stopni nie uświadczymy…

    • ja bym sie bardziej zastanawial czy karta SD przezyje od ciaglych zapisow (jesli poszli po najmniejszej linii oporu i nie zrobili zeby im sie system ladowal do ramdysku, albo jesli zostawili swap na karcie)

      VY 73

    • Przeżyje. Nextbikeowe terminale też są na Raspbianie więc pewnie RPI lub podobna płytka. Znoszą znacznie gorsze warunki pogodowe – wariacja temperatury od -20 (w tym roku tak się trafiło że początek sezonu wypadł w niezłe mrozy) do pewnie z 50 stopni w środku czarnej skrzynki terminala. Plus duża wilgotność i średnio stabilne zasilanie z ogniwa fotowoltanicznego + styranej baterii dodatkowo obciążonej elektrozamkami.

    • Jeśli już, to “linii najmniejszego oporu”…

    • Ale w “szklarniowych” tramwajach temperatura potrafi przekroczyć 50 stopni. Poza tym zimą na zajezdni (w niemal otwartej hali oraz na dworze) nikt też tramwajów nie dogrzewa, a potrafią być przecież zimą mocno ujemne temperatury.

  6. Jeżdżę na miesięcznym kupionym przez internet, więc samemu nie korzystam z tych automatów. Ale widziałem sporo ludzi, którzy mieli taki komunikat.
    Widziałem to tyle razy, że to raczej wyklucza aby każda z tych osób miał brak środków na karcie. Przecież bilet kosztuje kilka zł

    • Nie ogarnęli tokenizacji, więc blokują karty które przy każdej transakcji podają inny token.

      Dzięki temu można jeździć za darmo.

  7. Ta firma wprowadzała poprzedni system biletowy i biletomatowy kilka lat temu. Cyrki były identyczne. Biletomaty stacjonarne przy lekkim mrozie się wyłączały, urzędnicy tłumaczyli że elektronika musi się dotrzeć (sic!). Nie dało się zapisać biletu miesięcznego na karcie elektronicznej, same biltetomaty były regularnie blokowane przez co nie wydawały kasy. Te w tramwajach albo przestawały działać, albo po prostu nie działały. I się jechało na gapę jeden przystanek. Mennica jak widać ma takie metody, że wysyła swoje systemy do alfatestów na ulice. Tylko zapomnieli, że nie wszyscy pasażerowie mają ochotę w tych testach uczestniczyć.

  8. Logika po Wuju z tym dreptaniem do BOKu “za nieswoje grzechy”. Co za kretyn to projektował?

  9. Co do wątpliwości dotyczących bezpieczeństwa danych użytkowników przy kontroli biletów (ten podlinkowany tekst “Czy można kogoś zbliżeniowo okraść ….”).

    Otóż, można się zgodzić że atak polegający na użyciu płatności zbliżeniowych przez fałszywego kontrolera biletów do wykonania płatności jest trudny.

    Ale co z innym możliwym zagrożeniem?

    Do tramwaju wchodzi fałszywy kontroler, który ma fałszywe urządzenie, które nie jest terminalem ani niczym co kartę “skanuje”, tylko aparatem fotograficznym zapakowanym w plastik wyglądający jak “skaner”, który po włożeniu/przeciągnięciu karty robi jej zdjęcie z obu stron, z numerem, nazwiskiem właściciela i kodem CVV.

    Przeciętny pasażer nie ma żadnych możliwości rozpoznać czy urządzenie trzymane w ręku przez kontrolera to skaner, aparat czy cokolwiek innego. A “kontroler” z uśmiechem na ustach oddaje kartę po “przeskanowaniu” mówiąc że wszystko ok.

    Po przejściu się przez tramwaj pełen ludzi, atakujący ma w ręku fotografie wielu kart, z których przynajmniej część będzie bez problemu obsługiwała płatności internetowe do których dane widniejące na karcie całkowicie wystarczą.

    Jak bardzo realne jest takie zagrożenie?

    • To co opisałeś jest bardzo realne. Dlatego najlepiej zakleić kod CVC na karcie.

    • Bank zabrania udostępniania kart osobom trzecim.

  10. To jest taka możliwość, żeby bank zaakceptował transakcję, pomimo że klient nie ma pieniędzy (albo więcej nie może pożyczyć)?

    • Jest (i nie koniecznie musi być to bank):
      – debet w ramach konta w banku;
      – “debet” u przewoźnika/dostawcy systemu biletów – akceptuje ale do jakiejś małej kwoty i prosi o uregulowanie/zgłoszenie się/sprawdzenie salda/itd. Bez tego w razie błędu/braku środków rano wszyscy jadą na gapę.

      PS. Takie jajca (i niechęć do) były z kartą PEKA w Poznaniu, ale się unormowało i widzę iż z TPortmonetką (w ramach PEKA) nie ma takich JAJ jak z tym wynalazkiem Męczennicy.
      Może niech Wrocław kupi system od Poznania?

    • Miałem tak raz, kupiłem zbliżeniowo poniżej 50zł, (bez pinu), miałem może 3zł za mało.i powstało zadłużenie. Mam kartę debetową. Oczywiście w ten sam dzień zadłużenie spłaciłem.

    • > od Poznania
      Właściwie to od R&G. Firma z Podlarpacia, w Rzeszowie też biletomaty wdrożyli z podobnym systemem ;)

    • Jest przy transakcjach offline.

  11. Jakieś dwa tygodnie temu kupiłem w tramwaju bilety. Transakcja niby się udała, ale na karcie nie zostały zablokowane żadne środki. I chyba do dziś transakcja nie jest rozliczona, bo nie ma jej w historii mojego konta. Ciekawe czy z tego powodu moja karta już wylądowała na czarnej liście…?

  12. We Wrocku z tymi biletomatami jest tez problem ze sprawdzeniem waznosci biletu na Urban Card -.-

  13. Właśnie dzisiaj miałem taką sytuację. Karta zablokowana, bilet nie kupiony. Kasa na koncie.
    Stopień skomplikowania nowych urządzeń przerasta operatora. Zwykle skoro doszli już tak daleko, że to jest w każdym autobusie i tramwaju muszą doprowadzić do stabilizacji.
    Niestety kosztem użytkowników. Nie wiem, jak kontrolerzy się zachowują w takich sytuacjach.

    • Wg regulaminu MPK nie ma podstawy do wystawienia mandatu w sytuacji awarii biletomatu.

  14. W Łodzi ten sam system i też działa na rPi, często wisi konsola Raspbian’a.

  15. Czy jest dostępna jakieś źródło tego że śmigają na RPi oprócz “Trust me dude”? Jestem bardzo ciekaw ;)

  16. Znajomy kilka tygodni temu przedłużał Urban Card. Kontrola kilka dni temu pokazała, że ma bilet ważny do 2011 roku…

  17. 175mln na nowe biletomaty a na skrzyżowanie ul. Piłsudskiego i Świdnickiej tramwaje się wykolejają.

  18. Mała uwaga – przecież to nie system Urbancard określa, czy dla danej karty bankowej są środki finansowe na koncie, czy nie ma środków.
    System Urbancard wysyła zapytanie do systemów bankowych i dostaje odpowiedź – są środki/nie ma środków. Na podstawie tej odpowiedzi realizuje dalej swój algorytm działania.

    • Sęk w tym, że twierdzi że nie ma środków i blokuje kartę gdy na koncie są środki.

    • Nie system Urbancard, tylko agent rozliczeniowy – w tym przypadku Mennica Polska.

    • @Lukasz032

      Mennica nie jest agentem rozliczeniowym.

    • A no tak, drobna pomyłka… własne centrum rozliczeniowe ma Asec, Mennica współpracuje w tym zakresie z First Data Polcard ;)

  19. Wrocław to siedziba mafii. Nic mnie tam nie zdziwi.

  20. Gdzie czasy, że na kartoniku wpisywało się nazwisko, zakreślało datę? Anonimowo, bez śledzenia, tanio. A teraz bajzel i miliony kosztów. Kiedyś w odpowiedzi na maila wysłali dane osobowe jakiegoś obcego mi faceta.

  21. Zastanawiałem się ostatnio czemu po 2 tygodniach dalej nie została ściągnięta opłata za bilet, który kupiłem. Będę wiedział, czego się spodziewać przy następnym zakupie. Karta miała środki i na pewno nie zamierzam jechać do BOK i wyjaśniać czemu nie byli w stanie ściągnąć kasy z karty. Może w Skycash przywrócą obsługę, to działało w miarę dobrze.

    • ScyCash też nie działa offline

  22. Swoją drogą czy na czarną listę trafiają nieudane transakcje które zablokowały biletomat?

    • Na czarną listę trafiają też karty na ktorych są pieniądze, ale zakup nie doszedł do skutku na skutek błędu systemu.

  23. Jedno to problemy z kupowaniem biletomatów w tramwaju, a drugie to nowy system do zakupów biletów online.
    Po pierwsze, stary system został wyłączony bez informowania użytkowników. Otrzymywałam maila, kiedy zbliżał się koniec ważności biletu. W marcu mail nie przyszedł. Okazało się ze jest nowa strona, na której muszę założyć konto. Aby je założyć konieczne jest podanie numeru PESEL. A link do regulaminu, który trzeba zaakceptować, nie działa (brak możliwości nawiązania bezpiecznego połączenia)
    Błędy i problemy zgłaszałam do supportu urban card, ale jakość odpowiedzi pozostawia wiele do życzenia :)

  24. Jakby ktoś się chciał kiedyś pobawić w hakera to kliknięcie 5-7 razy w lewy górny róg spowoduje wyświetlenie klawiatury z możliwością wpisania PINu.

  25. Ja mam tak, że mam zastrzeżony mój Android Pay w telefonie, ale jak przyłożę tą kartę fizycznie to ją czyta.
    Pojawia się pytanie – co zostało zablokowane (numer karty, kanał płatności)?
    Numer karty jest ten sam – ale w APay nie działa, a fizycznie już tak.

    • Zablokowana jest płatność przez Android Pay, bo system MPK nie jest certyfikowany i zawiesza się przy probie kupienia bileyu.

      Zapewne dlatego że nie obsługuje trybu offline ani tokenizacji.

  26. RaspberryPi potrafi wytrzymac naprawdę dużo ale czy karta pamięci przetwa dużą wymianę danych, wątpie. To nie jest mikrokomputer do zastosowań komercyjnych, nawet z zastosowaniem najszybszych i najlepszych kart pamięci czy z podłaczeniem SSD przez kabel USB – SATA i przeniesieniem partycji na SSD i tak nie będzie odpowiednio szybkich transferów danych, wydajnośc obliczeniową jako taką pomijam…

    • Co do karty to się nie ma co martwić, są rozwiązania w klasie industrial które wytrzymują min 2 miliony zapisów w komórkę pamięci.

      Co do sprzętu to Mennica nie produkuje żadnego sprzętu fizycznego. Kupują go od podwykonawców. Ten konkretny pochodzi od Słowackiego EMTest’u.
      Poprzedni wrocławski system pochodził od polskiego producenta MERA.

  27. Dlaczego więc nie używacie aplikacji w telefonie w której kupicie bilet w 5 sekund?

    • Bo kupno przez aplikacje PeoPay czy Google Pay nie działa

    • PeoPay działa bez problemu – oczywiście do momentu, gdy wyczerpiesz limit czterech transakcji na logowanie (pobrany token ma cztery CVV, kolejne żądanie weryfikacji odrzuci – tak to działa w PeoPay na W10M) lub zalogujesz się ponownie do konta (wtedy token tak czy inaczej się odświeża).

    • @Lukasz032 – co w sytuacji gdy przy kontroli będzie inny token niż przy zakupie?

  28. No to zamieszanie jest niezłe “we Wrocku”. W W-wie biletomaty działają. Gdzieś na przystankach widziałem też te z Mennicy Polskiej. Czasem są 2 obok siebie w metrze od różnych dostawców. Są poza tym równolegle 4 systemy płatności “telefonem”. Ktoś wspominał o SkyCash we Wrocławiu, w W-wie jest jeszcze mPay, jakdojade.pl i Mobilet. Używałem jedynie tego ostatniego, ale nikt nie skanował mi QR kodu z telefonu w tramwaju, więc nie wiem jak podczas kontroli to działa.

  29. Normalnie, jak kupuję w sklepie i płacę paypassem, to przykładam kartę, coś tam się dzieje, i sklep dostaje odpowiedź: zgoda lub brak zgody. Jak nie ma zgody – to sklepikarz każe mi wszystko oddać i po transakcji. Jak jest zgoda – to już problem mój i banku czy środki na koncie są, itp.
    Czy mam rozumieć, że MPK które wydało bilet jest jak taki sklepikarz, co to nie sprawdza odpowiedzi z banku, tylko wydaje bilet ale kumuluje sobie dane i wysyła je paczkami – a jak się później okaże, że ktoś nie dostał zgody to się nad nim pastwimy? Czy nie powinno być tak, że sprawdza na bieżąco, jak nie ma zgody to nie ma biletu i niech się pasażer martwi że jedzie na gapę?
    Po drugie, jeżeli z jakichkolwiek powodów MPK wpisało sobie moją kartę na listę, nie ważne czy w sposób mniej czy bardziej zasadny, i nie sprzedaje mi biletu gdy po raz kolejny chcę się przejechać tramwajem – to na kim spoczywa odpowiedzialność za to, że jadę na gapę? W końcu to MPK odmówiło mi przyjęcia opłaty za usługę przewozu, którą (zgodnie z prawem transportowym) zawarliśmy między sobą w momencie gdy wsiadłem do tramwaju? Czy JA mam ponosić konsekwencje tego, że MPK nie chce mojej kasy?

    A swoją drogą, jak “coś się spier…” to jaki mam dowód, że ja ten bilet faktycznie kupiłem? No bo kupuję bilet, jeszcze sprawdzam go w biletomacie – no wszystko działa pięknie, a tu rach-ciach, coś się wykrzaczyło, biletomat zgubił moje dane i nagle kanar stwierdza, że jadę bez biletu?
    Tak pytam, z perspektywy osoby, którą kiedyś kanar chciał obciążyć karą za jazdę bez biletu i sprawą sądową o oszustwo/podrabianie biletów, a dopiero po karczemnej awanturze i zastraszaniu kanara policją udało mi się go przekonać, żeby łaskawie sprawdził, że może faktycznie im się biletomat popsuł? W tamtej sytuacji miałbym chociaż papierowy bilet jako dowód w sądzie, bilet w którym nie znaleziono by śladów mydła.

    • System Mennicy nie może sprawdzać na bieżąco, bo nie ma stałego połączenia z internetem. Dlatego cześć transakcji rozlicza offline co wywala im błąd i skutkuje blokadą.

      Wg regulaminu nie ma podstawy do wystawienia mandatu gdy zachodzi błąd biletomatu.

      Zresztą nawet jak kupisz bilet to przy sprawdzeniu w biletomacie czy u kontrolera pokazuje brak biletu, bo przecież na skutek tokenizacji jest już inny token niż przy zakupie.

  30. Też mam zablokowana kartę i nie mam czasu na wycieczki do boku, nie mój interes trudno

  31. Zastanawia mnie czy sprzedawca biletów nie łamie (poza prawem konsumenta do skorzystania z usługi) ustaleń z operatorami kart płatniczych VISA i Mastercard.

    Po pierwsze wprowadza w błąd klientów tych kart komunikatem o rzekomym zastrzeżeniu karty, a po drugie rozlicza transakcje, których nie może rozliczyć (jeżeli faktycznie brak jest środków, to albo w online powinien odrzucić, albo spróbować, gdy środki będą).

    To ewenement, że sprzedawca biletów we Wrocławiu “życzy przyjemnej podróży”, a po czasie dopisuje kartę na jakąś fantazyjną listę blokowanych kart (ma zgodę na przetwarzanie takich danych od pasażera? jest to wymagane do świadczenia usługi, żeby zapisywać sobie komu kiedy zabrakło środków?), bo połapał się po czasie, że nie było w danej chwili środków albo wystąpił błąd.

    Jest to przerzucanie ryzyka operacyjnego tego systemu sprzedażowego na klienta usługi i nie powinno się zdarzyć. Na miejscu operatorów kart zablokowałbym możliwość płacenia kartami u tego sprzedawcy, dopóki nie naprawi sposobu rozliczania, przestanie wprowadzać klientów kart w błąd i wykorzystywać karty płatnicze do bezprawnego odmawiania realizacji usługi.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.