in , ,

Κενά ασφαλείας στην εφαρμογή ParkPal του δήμου Θεσσαλονίκης

Εκτεθειμένα τα προσωπικά στοιχεία και τα χρήματα των οδηγών

Πηγή φωτογραφίας: Parkpal.gr

Η χρήση του αυτοκινήτου στην πόλη της Θεσσαλονίκης μοιάζει δυστυχώς πολλές φορές μονόδρομος, με δεδομένα τα πολύ σοβαρά προβλήματα του μοναδικού μέσου μαζικής μεταφοράς της πόλης, των αστικών λεωφορείων.

Στην προσπάθεια της να ελέγξει τις θέσεις στάθμευσης στο κέντρο της πόλης η διοίκηση Μπουτάρη υπέγραψε τον Μάρτιο του 2017 σύμβαση με την Intrakat για την εγκατάσταση και λειτουργία Συστήματος Ελεγχόμενης Στάθμευσης στο δήμο Θεσσαλονίκης, ενώ στη συνέχεια η διοίκηση Ζέρβα υπέγραψε την παράταση της έως το 2023, χωρίς να την επαναδιαπραγματευτεί, όπως προεκλογικά είχε δεσμευτεί.

Οι αντιδράσεις της αντιπολίτευσης από την πρώτη στιγμή ήταν έντονες, με το επιχείρημα ότι μια τέτοια διαδικασία θα μπορούσε να την τρέξει εξ ολοκλήρου ο δήμος μόνος του, χωρίς να εντάξει σε αυτή κάποια μεγάλη ιδιωτική εταιρεία που μοναδικό στόχο έχει το καθαρό κέρδος, ενώ επισημάνθηκε ότι η χρέωση για κάθε ώρα στάθμευσης είναι εξαιρετικά υψηλή.

Παρ’ όλα αυτά μέχρι και σήμερα κάτοικοι και επισκέπτες του κέντρου της Θεσσαλονίκης έχουν συμφιλιωθεί με το γεγονός και χρησιμοποιούν πολύ συχνά την ηλεκτρονική εφαρμογή του συστήματος ελεγχόμενης στάθμευσης με την επωνυμία “ParkPal”.

Ωστόσο, όπως προκύπτει από τα όσα περιγράφει στο alterthess.gr μηχανικός λογισμικού που ζει και εργάζεται στη Θεσσαλονίκη, η εν λόγω εφαρμογή είναι πρόχειρα στημένη, με αποτέλεσμα να μην προστατεύονται τα προσωπικά δεδομένα και τα χρήματα του κάθε χρήστη.

Πιο συγκεκριμένα μας περιγράφει:

«Έπειτα από μια μικρή ανάλυση του τρόπου λειτουργίας της εφαρμογής “ParkPal”, καταλήξαμε στο συμπέρασμα πως δεν υπάρχει κανένα επίπεδο ασφάλειας για τους χρήστες, τα προσωπικά τους δεδομένα και τα χρήματά τους.

Αντιθέτως αυτή η εφαρμογή εκθέτει πολλά στοιχεία χρήσης σε όποιον τα αναζητήσει, ενώ δίνει απλόχερα και την δυνατότητα σε κάποιον κακόβουλο χρήστη να χρησιμοποιήσει το χρηματικό υπόλοιπο οποιοδήποτε άλλου χρήστη με μόλις ένα κλικ!

Για να αναλύσουμε το θέμα, πρέπει να εξηγήσουμε εν συντομία πως όλες οι mobile εφαρμογές που κάνουν χρήση του δικτύου της συσκευής μας για να στείλουν και να λάβουν δεδομένα – από και προς κάποιον server (που συνδέεται και με την βάση δεδομένων της εφαρμογής) χρησιμοποιούν μια διεπαφή, το λεγόμενο API (Application Programming Interface). Για λόγους ευκολίας κατασκευής και αξιοπιστίας στην λειτουργία των εφαρμογών, ακολουθούνται συνήθως κοινές πρακτικές και “γλώσσες επικοινωνίας”, μαζί με μερικά εργαλεία που μπορεί κανείς να βρει και να χρησιμοποιήσει με μια απλή αναζήτηση Google.

Έτσι, επιστρέφουμε στην εφαρμογή ParkPal, η οποία με την σειρά της επικοινωνεί με τον server στον οποίο λειτουργεί όλο το λογισμικό ελέγχου στάθμευσης, αλλά χωρίς κανέναν μηχανισμό αυθεντικοποίησης του χρήστη και με μηδενικό βαθμό ασφαλείας/κρυπτογράφησης των δεδομένων!

Αντιθέτως, η εφαρμογή μεταφέρει δεδομένα μέσω του API σε μορφή καθαρού κειμένου, χωρίς έλεγχο για την πηγή των δεδομένων ή αξιολόγηση του “ποιος εκτελεί την ενέργεια”. Έτσι διαπιστώνεται ένα τεράστιο κενό ασφαλείας το οποίο εκθέτει όλους τους χρήστες της εφαρμογής (η εφαρμογή χρησιμοποιεί αριθμητική ακολουθία για να ονομάζει τους χρήστες αντί τυχαίων αλφαριθμητικών), καθώς οποιοσδήποτε αντιληφθεί τα παραπάνω μπορεί να “διαβάσει” την πινακίδα του αυτοκινήτου του κάθε χρήστη, το χρηματικό υπόλοιπο του, το ιστορικό στάθμευσης του από την αρχή χρήση της εφαρμογής, ακόμη και να χρησιμοποιήσει το wallet κάποιου χρήστη για να σταθμεύσει οποιοδήποτε όχημα με ξένο πορτοφόλι.

Και σαν να μην έφταναν όλα αυτά, στα μέσα του περασμένου Φεβρουαρίου ανακοινώθηκε από την κυβέρνηση το  opencar.services.gov.gr – στο οποίο μπορεί κανείς να βρει μερικά ακόμα στοιχεία για ένα όχημα, μόνο με τον αριθμό κυκλοφορίας του, ο οποίος συμπεριλαμβάνεται στα στοιχεία που εκτίθενται από το ParkPal. Συνδυάζοντας τα παραπάνω, ο “κακόβουλος” ή “επιτιθέμενος” μπορεί να μάθει την μάρκα και το χρώμα του αυτοκινήτου από το gov.gr, και στην συνέχεια όλο το ιστορικό στάθμευσης και τις περιοχές στάθμευσης από το ParkPal».

Εν ολίγοις, μπορεί κάποιος με βασικές γνώσεις πληροφορικής να μάθει πού και πόσο συχνά παρκάρεις κάπου το αυτοκίνητο σου μέσω της εφαρμογής, ενώ μπορεί να χρησιμοποιήσει τα χρήματα κάποιου άλλου για να σταθμεύσει το δικό του όχημα.

Με βάση τα παραπάνω, προκύπτουν σοβαρά ερωτήματα για την προστασία των προσωπικών δεδομένων (GDPR) των οδηγών που χρησιμοποιούν την εφαρμογή “ParkPal”, ενώ υπάρχει κίνδυνος κλοπής του οικονομικού υπολοίπου του κάθε χρήστη.

Η ιδιωτική εταιρεία Intrakat που «τρέχει» το σύστημα, αλλά και η διοίκηση του δήμου Θεσσαλονίκης οφείλουν να ελέγξουν τα παραπάνω και να εξηγήσουν για ποιόν λόγο μια εφαρμογή που χρησιμοποιείται εδώ και χρόνια, για μια δημόσια/ δημοτική υπηρεσία, αντιμετωπίζει τόσο σοβαρά προβλήματα.

Ιάσων Μπάντιος

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Μεγαλειώδεις απεργιακές διαδηλώσεις στη Θεσσαλονίκη – Ηχηρό μήνυμα στην κυβέρνηση

Παρουσίαση του βιβλίου του Δ. Χριστόπουλου: Ταξίδι στο κράτος: Κυριαρχία, δίκαιο και δικαιώματα