We Wrocławiu ruszył dziś nowy system biletowy. Jaka jest cena „nowoczesności”?

Strona główna Aktualności
Nowoczesny tramwaj we Wrocławiu z depositphotos
Nowoczesny tramwaj we Wrocławiu z depositphotos

O autorze

Polska branża płatnicza nie kryje okrzyków dumy i radości. Zwykli wrocławianie entuzjazm ten podzielają znacznie mniej. Dzisiaj oficjalnie aktywowany system biletowy w stolicy Dolnego Śląska ogłoszono „najnowocześniejszym na świecie”, ponieważ całkowicie eliminuje materialny ślad jako dowód wniesienia opłaty. Wszystko odbywa się cyfrowo, zbliżeniowo, programistycznie. Papierowe bilety pozostawiono na otarcie łez w stacjonarnych automatach biletowych, w pojazdach komunikacji miejskiej zachowano zaś dla tych papierowych biletów elektromechaniczne kasowniki, ale to wszystko. Docelowo każdy ma mieć przecież kartę zbliżeniową, każdy ma chętnie przykładać swoją kartę płatniczą do przenośnych terminali kontrolnych w rękach ludzi podających się za uprawnionych kontrolerów biletów.

Śledząc opinie w regionalnych grupkach Wrocławia na Facebooku trudno znaleźć jakieś pozytywne wypowiedzi o nowym systemie biletowym. Można powiedzieć, że już na starcie jego operator, Mennica Polska, zaliczył spektakularną porażkę PR-ową. Ludzie po prostu się boją, że nowy system pozwoli łatwo okradać ich z pieniędzy, nie mają pojęcia jak on właściwie działa. Zamiast akcji edukacyjnej i publicznego udostępnienia technikaliów do wglądu dostaliśmy jedynie okrągłe słowa, ogólnikowe zapewnienia i wesołą akcję pożegnania starych kasowników, którym przydano cech antropomorficznych i opatrzono smutnymi napisami, że to już koniec. Zrób sobie ze mną ostatnie selfie, prosi stary żółty kasownik.

Jak działa nowy system biletowy we Wrocławiu?

W tramwajach i autobusach wrocławskiej komunikacji miejskiej w ciągu ostatnich kilku miesięcy zainstalowano 3300 kasoterminali bliżej nieznanego producenta. Poprzez interfejs graficzny wyświetlany na ekranie dotykowym pozwalają one wybrać rodzaj biletu i uiścić za niego płatność. Można to zrobić za pomocą karty płatniczej lub karty miejskiej Urbancard, obsługującej standard komunikacji zbliżeniowej Mifare, oraz telefonu z przypiętą wirtualną kartą kredytową, obsługującego technologie NFC/HCE (simcentryczne płatności mobilne).

Kasownik wykorzystuje numer karty płatniczej, numer kursu i datę transakcji do wygenerowania tokenu, który zostaje przesłany do centrali, obsługiwanej przez firmę First Data Polcard, będącej oficjalnym agentem rozliczeniowym i procesorem płatności dla Mennicy Polskiej. Centrala autoryzuje transakcję i rozlicza ją z bankami – wystawcami kart płatniczych.

Kontrola biletów polega teraz na sprawdzeniu, czy w centrali znajduje się token odpowiadający danej karcie płatniczej w określonym czasie i kursie. W tym celu kontroler sprawdzić musi oczywiście numer karty płatniczej za pomocą zbliżeniowego czytnika. I tu zaczyna się panika, ponieważ bardzo wielu pasażerów przekonanych jest, że oprócz sprawdzenia tokenu może stać się coś jeszcze – np. ich konto zostanie obciążone niewymagającą pinowego potwierdzenia kwotą. Ludziom też się nie podoba, że potencjalnie z kart płatniczych można odczytać ich dane osobowe, oraz kilka ostatnich transakcji.

Czy jest się czego faktycznie obawiać?

W lutym br. Niebezpiecznik opublikował obszerny tekst poświęcony bezpieczeństwu tego systemu biletowego, generalnie w uspokajającym tonie – nie ma się czego obawiać, wszystko jest dobrze. Nasi koledzy zdają się wierzyć w bezpieczeństwo transakcji bezdotykowych, twierdząc zgodnie z aktualnym stanem wiedzy, że karty zbliżeniowej nie da się sklonować na podstawie odczytanych z niej bezprzewodowo danych… choć w 2014 roku mogliśmy zobaczyć androidową aplikację australijskiego hakera Petera Filmore’a, która za pomocą zmodyfikowanego smartfonu Nexus 4 pozwala sklonować karty zbliżeniowe, wykorzystując w tym celu słabości związane ze starszym systemem pasków magnetycznych. Jak wówczas stwierdził Filmore, zbliżeniowe interfejsy są pełne błędów w implementacjach i jedynie brak dostępnego i niedrogiego sprzętu do testów ograniczył aktywność badaczy w tej dziedzinie.

Drugi atak, czyli nabicie transakcji na 49,99 zł, też ma być raczej niegroźny. Nie powinniśmy obawiać się odczytywania kart przez ukryte mobilne czytniki Paypass, ponieważ każdy terminal musi być zarejestrowany u agenta rozliczeniowego, a procedura weryfikacji akceptanta jest bardzo szczegółowa. W tym momencie jednak musimy już zwątpić – bezpieczeństwo przez gwarancje instytucji to żadne bezpieczeństwo, to tylko ludzkie opowieści, każdy ma własne.

Trzeba jednak pamiętać o trzecim ataku, natury cyberfizycznej: na karcie podane są wszystkie ważne dane, pozwalające za jej pomocą na przeprowadzanie płatności w Internecie. Numer karty, data ważności, imię i nazwisko posiadacza oraz umieszczony z tyłu trzycyfrowy kod bezpieczeństwa CVV2. Ulepszony terminal kontrolny napastników może korzystać z wbudowanego układu kamer, który podaną przez pasażera kartę płatniczą odpowiednio obfotografuje, z przodu i z tyłu, przechwytując także kod CVV2. Nie wymyśliliśmy tego jako pierwsi, o takim fotografowaniu wspominają brytyjscy badacze w swoim artykule pt. Practical Attack on Contactless Payment Card.

Jedyny sposób, w jaki możemy się przed takim atakiem zabezpieczyć, to całkowite osłonięcie karty płatniczej futerałem podczas procedury kontroli biletów. Nie możemy być pewni, że szybko zbliżając kartę do czytnika zasłonimy ją palcem akurat tak, by wrażliwe dane były niewidoczne.

Na koniec omówienia tych kwestii bezpieczeństwa zastanowimy się głośno nad bezpieczeństwem w drugą stronę. A co, jeśli czytnik kontrolera dostałby numer karty kredytowej w formie, której nie potrafiłby poprawnie parsować? Jakiś mały błąd przepełnienia bufora, na podobieństwo problemów z uzłośliwionymi kodami QR na papierowych biletach kolejowych? Biorąc pod uwagę zaplecze techniczne i informatyczne Wrocławia wierzymy, że już ktoś gdzieś może eksperymentować z deweloperskimi kartami do zbliżeniowych płatności. Czytniki kontrolerów do eksperymentów pewnie też gdzieś się pojawią w drugim obiegu.

Nowoczesny znaczy gorszy?

Sprawy bezpieczeństwa zostawmy w tym momencie na boku, wrócimy do nich gdy usłyszymy o jakichś konkretnych atakach. Tym co najbardziej uderza w nowym, nowoczesnym systemie biletowym jest to, że dla zwykłego pasażera jest on rozwiązaniem gorszym. Zobaczmy, co po wprowadzeniu tego systemu płatności staje się niemożliwe lub niewygodne:

  • Jadąc w grupie, w której ludzie wysiadają na różnych przystankach, tracimy możliwość kupienia każdemu biletów jedną transakcją – jako że wszystkie bilety są przywiązane do jednej karty płatniczej, posiadacz tej karty musiałby wysiąść jako ostatni, by uniknąć ryzyka kontroli dla tych, których bilety „przechowuje”.
  • Znika możliwość kupienia biletów „na zapas”, i to w różnych konfiguracjach, np. biletu jednorazowego i biletu czasowego. Bilet zakupiony elektronicznie jest automatycznie biletem „skasowanym”. W podróży z przesiadkami za każdym razem musimy kupować nowy bilet.
  • Zakupienie biletu czasowego nie pozwala łatwo sprawdzić, ile jeszcze możemy „legalnie” jechać. Z papierowym biletem wystarczyło sprawdzić wydrukowaną przez kasownik godzinę, a następnie spojrzeć na zegarek. Teraz musimy przepychać się za każdym razem do kasoterminala – co w godzinach szczytu do przyjemnych zajęć nie należy.

W tej sytuacji na plus nowego systemu można zaliczyć jedynie dwie rzeczy… z czego jedna wydaje się być plusem tylko dla operatora płatności. Pierwsza rzecz to oczywiście ograniczenie marnotrawienia papieru. Zakładając że rocznie wrocławskie MPK przewozi 150 mln pasażerów, z których 50% kasuje jednorazowe bilety, ważące około 0,2 grama każdy, to idzie na nie około 15 ton papieru. Podobno to odpowiednik 255 drzew. Nawet gdyby nasze obliczenia tu były błędne o dwa rzędy wielkości, to i tak ścięcie nawet dwóch drzew na takie bzdury nie jest niczym dobrym.

Druga sprawa to Big Data. Operator systemu nowych płatności będzie teraz dysponował jeszcze większą ilością numerów kart kredytowych. Oczywiście to wszystko anonimowe itd., ale co z tego tak naprawdę? Budowanie modeli przewidywań zachowań konsumenckich bazuje właśnie na ogromnej ilości takich anonimowych danych. A modele takie mogą być w przyszłości więcej warte, niż przychód z samych biletów komunikacji miejskiej.

Na koniec jedna ciekawostka. Od 1 stycznia 2018 roku obowiązują we Wrocławiu nowe, wyższe ceny biletów komunikacji miejskiej. Za bilet normalny na linię zwykłą trzeba zapłacić o 40 groszy więcej, tj. 3,40 zł. Podniesienie ceny przejazdu o ponad 11 procent, w sytuacji gdy wdraża się system, który podobno ma przynieść oszczędności na papierze oraz serwisowaniu dotychczasowych biletomatów, nie wydaje się wyjątkowo przemyślanym posunięciem PR-owym.

© dobreprogramy
s