רב קו
מופקר

כרטיס הרב-קו הוא אביזר חובה לכל אזרח בישראל שאינו בעל רכב. הרפורמה בתחבורה הציבורית בשלוש השנים האחרונות הפכה אותו לכרטיס הנסיעה הארצי והחל מהחודש שעבר אף לא ניתן לרכוש את חלק מסוגי הנסיעות בלעדיו. אך הכרטיס הירוק הוא גם סיכון אישי חסר תקדים – ומשרד התחבורה, המודע לבעייתיות, לא עושה דבר בנידון.

בואו לפייסבוק של נקסטר

הבוקר (ג'), פרסם מורד שטרן בבלוג Usability Talking, את מה שהוא מגדיר כ"מדריך" המראה כיצד ניתן ללמוד פרטים אישיים על אדם תוך שניות על ידי שימוש בכרטיס הרב-קו שלו ובסמארטפון אנדרואיד מצויד בתקן התקשורת NFC, כגון גלקסי S3 ו-S4, אקספיריה Z של סוני או נקסוס 4 של גוגל. כל שיש לעשות הוא להוריד את אפליקציית "רב-קו" שפיתח נדב מוסקוביץ לטלפון החכם, להצמיד את כרטיס הרב-קו אל אחורי המכשיר ולהמתין שנייה או שתיים. לאחר מכן יוצגו על המסך 6 הנסיעות האחרונות שבוצעו בעזרת הכרטיס, עד 8 "חוזים" (כלומר: כרטיסים רבי-נסיעות כגון כרטיסיות או חופשי חודשי) פעילים, כמה "חוזים" שכבר נוצלו וכל פרטי המשתמש – מספר תעודת זהות, תאריך לידה ועוד.

 

כך, לדוגמא, הצמדת הכרטיס האישי שלי למכשיר הראתה כרטיסייה שנקנתה ב-2011 וטרם נוצלה במלואה, את הנסיעות שלי מהימים האחרונים וכמה כרטיסיות שרכשתי לנסיעות לירושלים בחברות תחבורה ציבורית שונות. כל זה נוסף למועד בו הנפקתי את הכרטיס, זהות המפעילה אצלה עשיתי זאת וציון העובדה שהחזקתי ברשותי באותה העת כרטיס סטודנט.

"במהלך שיחה אקראית שניהלתי עם חבר, הראה לי אותו חבר מגניב שהוא יכול לסרוק את המידע באנדרואיד שלו, דבר שכמשתמש אייפון לא הייתי חשוף אליו", מספר שטרן ל-NEXTER. "כשבקשתי ממנו את המכשיר לסרוק בעצמי נדהמתי לראות את תעודת הזהות שלו ואת תאריך הלידה לצד תיעוד הנסיעות. כששאלתי אותו האם הוא הזין ססמה הוא ענה שלא. פה הבנתי שיש בעיה גדולה עם הכרטיסים האלו".

כאמור, הנגישות של הנתונים אינה חדשה. לפני כשלוש שנים, בתקופת הפיילוט של הכרטיס, חשף יוסי דהן, אז מפתח אפליקציות בן 17, כי ניתן לקרוא את כל הנתונים שעל הרב-קו בעזרת כל מכשיר המצויד בתקן התקשורת NFC. תגובת משרד התחבורה היתה כי הנגישות מיועדת לאפשר לכל אחד לגשת לנתונים שעל כרטיסו. השאלה היא מדוע לא נעשה מאז דבר כדי לוודא שהנתונים החשופים הם רק נתוני הנסיעות או השימוש בכרטיס, ולא פרטי המנפיק שהופכים כל כרטיס אבוד לגן עדן עבור הנוכל המצוי.

עדכון, 15:30 - תגובת משרד התחבורה:

"אין שום פרצה באבטחה בכרטיס החכם ולא ניתן לעשות כל שימוש לרעה בנתונים האישיים המצויים בכרטיס מאחר והוא אינו מכיל שום פרט חסוי. אופיו של הכרטיס אכן שונה ב-2010 וכיום הוא אינו מכיל פרטים אישיים מעבר למה שהיה קיים. הפרטים המצויים כיום בכרטיס החכם היו מצויים גם בכרטיסיית הנייר שהייתה נהוגה במשך שנים רבות עד לכניסת הכרטיס החכם. יתרה מכך, לא ניתן לשנות את תוכן הכרטיס או הפרטים הצפונים בו, ונדרשת פעילות מורכבת בפרוק המידע לשדות ולהבנת משמעותן".