Tietoturva-asiantuntija STT:lle: Trafin palvelun ongelmallisin seikka oli pelkällä henkilötunnuksella toimiva haku

STT selvitti ajokorttijupakkaan liittyviä kysymyksiä tietoturva-asiantuntijan kanssa.

Liikenteen turvallisuusvirasto
Trafin logo.
Antti Aimo-Koivisto / Lehtikuva

Liikenteen turvallisuusviraston Trafin ajokorttitietojupakka on herättänyt lukuisia kysymyksiä.

STT kokosi vastauksia keskeisiin kysymyksiin, mutta tiistaina Trafin tietojohtaja Juha Kenraali oli melko vaitonainen ja vetosi keskeneräiseen selvitykseen. Liikenne- ja viestintäministeriö pyysi maanantaina Viestintävirastolta selvitystä Trafin palveluiden tietosuojasta ja turvasta. Selvityksen on määrä olla valmis keskiviikkona.

Mitä tietoja Trafin palvelusta sai?

Trafin kuljettajatiedot-palvelusta oli mahdollista nähdä henkilön voimassaolevat ajo-oikeudet ja kuljettajan ammattipätevyystiedot. Tietoja pystyi vielä sunnuntai-iltana hakemaan pelkällä henkilötunnuksella tai nimen ja jonkin muun tunnistetiedon yhdistelmällä.

Miksi pelkällä henkilötunnuksella hakeminen on ongelmallista?

Kun haku toimi pelkällä henkilötunnuksella, sen perusteella oli mahdollista erilaisia yhdistelmiä kokeilemalla arvata toimivia henkilötunnuksia ja saada samalla tietoon henkilötunnuksen haltijan nimi.

Hakkeri- ja tietoturvatapahtuma Disobeyn perustanut Benjamin Särkkä pitää tätä palvelun ongelmallisimpana seikkana, sillä henkilötunnuksen loppuosa on kohtuullisen helppo päätellä ja koneellisesti arvauksia pystyy tekemään nopeastikin.

Henkilötunnuksen loppuosaan kuuluu kolme numeroa ja tarkistusmerkki, jonka määrittelyyn on olemassa laskukaava. Viimeisen merkin laskukaava on esitelty Väestörekisterikeskuksen verkkosivuilla. Lisäksi verkosta löytyy kaavaa hyödyntäviä laskureita.

Mitä näillä tiedoilla pystyi tekemään?

Särkkä huomauttaa, että identiteettivaras pystyy tekemään Suomessa aika paljon etu- ja sukunimellä, henkilötunnuksella ja kotiosoitteella. Niiden avulla voi saada esimerkiksi taloudellista hyötyä.

– Henkilötunnusta käytetään tunnistautumiseen aika usein ja sen avulla voi ottaa esimerkiksi pikavippejä, Särkkä selvensi.

Miksi palvelu mahdollisti tällaisen ja antoi hakea tietoja pelkällä henkilötunnuksella?

Trafin tietojohtaja Juha Kenraali ei vastaa suoraan kysymykseen ja kertoo, että Trafi tekee parhaillaan asiasta selvitystä liikenne- ja viestintäministeriölle.

– Olemme rauhoittaneet nyt tämän, että saamme rauhassa selvitettyä asian. Vastaamme sitten paremmin, Kenraali sanoi STT:lle.

Miten automaattiset haut estettiin?

Trafin palvelussa oli käytössä kuvallinen captcha-varmennus, jolla pyrittiin varmistamaan, että haun tekijä oli ihminen eikä kone. Käyttäjän oli syötettävä lomakkeelle kuvassa näkyvä numerosarja ennen kuin haun pystyi tekemään.

Captcha-varmennukset eivät kuitenkaan ole vedenpitäviä.

– Se vähän hidastaa, mutta ei se varsinaisesti estä mitään, Särkkä kertoi.

Trafin palvelun osalta Särkkä ei ottanut kantaa, kuinka tehokkaasti siinä oli automaattiset haut estetty, sillä hän ei ole testannut asiaa.

Lue lisää:

Berner Trafin verkkopalvelukohusta: Massaluovutusta ei näyttäisi tapahtuneen, mutta kaikkia tietoja ei vielä ole