Så lätt kapas dina personuppgifter i SL:s nya biljettsystem

avMartin Nilsson

SL:s miss: nya SMS-biljetten busenkel att fuska med

En oregistrerad kontantkortstelefon och ett giltigt personnummer.

Det är allt som krävs för att lura SL:s nya biljettsystem – och skicka fakturan till någon annan.

– Det blir ju ett helvete för den som får fakturan, säger Anders, som upptäckte buggen.

Kritiken mot SL:s nya system för SMS-biljetter har varit hård. Personer med betalningsanmärkningar har inte kunna beställa resor och vid premiären i fredags vittnade mängder av resenärer om biljetter som inte kom fram och betalningar som inte gick igenom.

Och nu avslöjas nästa fel: med hjälp av ett oregistrerat kontantkort och en internetuppkoppling kan vem som helst kapa dina personuppgifter - och åka gratis.

”Det gick alldeles för lätt”

Anders upptäckte buggen när han gick in för att registrera sig i torsdags kväll. 

– Det var något i det där som inte stämde, det gick alldeles för lätt, säger han.

– Jag tänkte att "det kanske funkar med ett kontantkort", så jag köpte ett, satte in i telefonen och hittade ett personnummer via bolagsverket. Det gick hur bra som helst.

Fördröjning i kontrollen

Metoden är enkel.

Vid nyregistrering kräver SL att du anger ett telefonnummer. Därefter ställs frågan om du vill betala via faktura eller med kreditkort och till sist ska du fylla i dina personuppgifter.

Enligt både SL och PayEx, som sköter betalningsdelen av systemet, kontrolleras personnummer mot vem som står registrerad på mobilabonnemanget - efter ett tag.

Men när Aftonbladets reporter registrerar ett helt anonymt kontantkortsnummer, väljer faktura som betalsätt och kopplar numret till en kollega är det inga problem att köpa en SMS-biljett för 36 kronor. Färdbeviset hamnar i den anonyma telefonen - och fakturan på en adress i Stockholm.

Sedan är det "bar å åk".

Vill inte kommentera säkerheten

Varken SL eller Pay Ex vill dock kännas vid problemet.

Patrik Wiberg, projekledare på SL, medger förvisso att det nya systemet möjliggör för vem som helst att tjuvåka på andras personuppgifter - men att en "larmlista" snabbt identifierar elektroniska plankare.

– Först och främst vill jag klargöra att den som anger falska uppgifter faktiskt gör sig skyldig till ett brott. Kontrollen vid registrering är en balans mellan tillgänglighet och säkerhet. Men du kommer inte att kunna åka gratis så fasligt länge. Vi har kontroller bakom kulisserna också, säger han.

Vilka kontroller då?

– Det säger sig självt att jag inte kan gå ut och säga hur man arbetar med det här, men PayEx har egna system.

Behöver inte betala

Hittills har Anders kontantkort inte spärrats för biljettköp och på PayEx vill man inte gå in på specifika detaljer kring säkerhetsarbetet.

Nicklas Molin ansvarar för Pay Ex betallösning och garanterar att personer som råkat ut för identitetsstöld har fri lejd från betalningsansvar.

– Det görs en upplysning på det personnummer som registreras. Då går det ut en kopia till personen, som har möjlighet att reagera. Om vi konstaterar ett bedrägligt beteende blir personen skadefri, säger han.

Men även om du missar upplysningen och blir varse identitetsstölden först när fakturan ligger på hallgolvet slipper du betalning, enligt Nicklas Molin.

– Då vänder man sig till oss eller SL och beskriver ärendet. Om någon har blivit utsatt för identitetsstöld gör vi en genomgång av fallet där vi tittar på detaljerna. Det viktigaste att poängtera är att de som blivit utsatta för identitetsstölder kommer att gå skadefria från det här.

Men det förutsätter att ni faktiskt tror på den som hör av sig?

– Ja, precis.

Fotnot: Anders arbetar själv i IT-branschen och poängterar att han genomförde det falska köpet för att visa på brister i SL:s system.

– Det blir ju ett helvete för den som får fakturan. Att bestrida och sitta i telefon är ju ingenting man har tid med. Det är fördjävligt. Det andra alternativet är ju att betala med kreditkort - men det finns inte en chans att jag lämnar ut mina kortuppgifter till de här skojarna efter det här, säger han.