For enkel tilgang til uregistrerte reisekort

Registreringsløsningen for reisekort som Ruter i dag tilbyr, åpner opp for at uvedkommende kan ta over reisekortet ditt ved hjelp av noen tastetrykk.

Ruter har registrering av sine reisekort på internett med kun et kortnummer. Ruter krever ingen legitimasjon. Hvis uvedkommende har tilgang til deler av reisekortnummeret og et grunnummer, kan dine reisepenger havne i hendene på andre.

• Les også: Flexus i strid med personvernloven
• Les også: Dropper Flexus

Da Pål i forrige måned skulle kjøpe seg et nytt månedskort, fikk han vite at kortet hans hadde blitt sperret. Etter mye frem og tilbake hos Ruter, fikk han beskjed om at det hadde skjedd en tastefeil og at reisekort hadde blitt sperret ved en feiltakelse.

– Ruter la seg flat og ga meg et nytt månedskort gratis, men det er prinsippet her som virker galt, sier Pål, som ikke ønsker å stå frem med fullt navn.

Ble nysgjerrig

– Etter dette bestemte jeg meg for å registrere kortet på internett, men stusset over at jeg kunne registrere kortet bare med et kortnummer uten å vise at jeg faktisk hadde kortet, sier han

– Jeg ble nysgjerrig på hvor lett det kunne være å få tilgang til andres reisekort.

Ved å ta utgangspunkt i sitt eget kortnummer, men med noen forskjellige sifre, kom han til slutt inn på en annen person sitt uregistrerte reisekort.

Dermed kan hvem som helst i prinsippet ta over en annens reisekort.

• Les også: Betal trikketuren med mobilen

Kritisk

Norsk senter for informasjonssikring, NorSIS, mener det er viktig å teste slike løsninger før det innføres. De er kritiske til hvor lett det er å «ta over» noen andres reisekort.

– Hvis det viser seg at man enkelt kan få tilgang til andre personers informasjon eller penger, så anbefaler jeg at Ruter går gjennom sine rutiner, sier administrerende direktør i NorSIS, Tore Orderløkken.

De har sett flere eksempler der leverandører slipper kundene inn deres systemer med sikkerhet og databaseløsninger som er svake. De mener slike løsninger åpner for at kriminelle og andre kan utnytte kunder.

– Det er viktig at leverandøren gjør en god jobb med å gjennomgå programmene og ved å teste løsningen før den settes i drift, sier Orderløkken.

Stenger tjenesten

Ruter skriver i en e-post til Østlandssendingen at de er pålagt å tilby anonyme reiser i henhold til Datatilsynets bransjenorm, men innrømmer at det kan ha vært en potensiell sikkerhetsrisiko.

– For å være på den sikre siden, så har vi derfor stengt muligheten for å registrere reisekortet via ruter.no i en kort periode. Vi vil installere en løsning hvor man må få tilsendt kode per sms for å registrere reisekortet sitt, sier kommunikasjonsrådgiver Gro Feldberg Janborg.

Ruter sier videre at kunder nå må registrere reisekortet via Ruters kontaktskjema på ruter.no, eller oppsøke Ruters kundesenter på Jernbanetorget for å registrere reisekortet sitt.

Janborg presiserer at det ikke ligger noen personlig informasjon på kortene som kan komme på avveie, og mener at det ikke er enkelt å overføre reisepenger fra et kort til et annet. I så fall må man møte opp personlig på Trafikanten, og oppgi et kontonummer som pengene skal overføres til.

Savner papirkort

Etter at kortet til Pål ble sperret fikk han et nytt månedskort fra Ruter. Han er fornøyd med hjelpen han fikk fra selskapet, men overrasket over hvor lett det er å «ta over» en annen persons reisekort.

– Etter denne episoden lengtet jeg tilbake til de gamle papirbillettene.