Na konferencii Confidence o bezpečnosti informačných technológií bola v máji 2009 v Krakove odprezentovaná prednáška s názvom „Hackovanie SMS lístka vo verejnej doprave“. V nej špecialista na bezpečnostné technológie Pavol Lupták predstavil spôsoby ako cestovať prostredníctvom hacku SMS lístka lacnejšie.
Zatiaľ čo každý SMS lístok obsahuje unikátny kód, pomocou ktorého revízor kontroluje platnosť cestovného lístka, identita cestujúceho sa už nekontroluje. Takto je možné jeden kód SMS lístka v súčasnosti použiť na viacerých mobilných telefónoch bez toho, aby revízor zistil, že jeden lístok používa viacero cestujúcich.
Systémy SMS služieb vyhodnotia prijatú SMS od cestujúceho, vygenerujú unikátny kód a zašlú ho späť v rámci SMS lístka. Ak sa však ako medzičlánok medzi cestujúceho a dopravcu (resp. poskytovateľa služieb SMS lístka) vloží SMS hack-server, je možné jeden lístok využiť na viacerých mobilných telefónoch. Podmienkou je použitie špeciálnej aplikácie v mobilnom telefóne, ktorá komunikuje s hack-serverom. Cestujúci nezasiela požiadavku na SMS lístok v podobe SMS dopravcovi, ale namiesto toho otvorí v mobile aplikáciu a zvolí požiadavku na vygenerovanie SMS lístka. Aplikácia kontaktuje hack-server, pričom ak tento nemá v databáze platný cestovný lístok, zašle SMS dopravcovi, ktorý mu vráti pravý SMS lístok. Server prečíta kód, uloží ho do databázy a zašle ho späť do mobilného telefónu cestujúceho. Priamo v mobilnom telefóne aplikácia na základe kódu vygeneruje falošnú avšak od pravej nerozoznateľnú SMS s kódom platného cestovného lístka. Ak iný cestujúci zašle o niekoľko minút neskôr požiadavku na SMS lístok, hack-server už nekontaktuje dopravcu, ale hneď vráti aktuálny kód SMS lístka. Týmto spôsobom je možné, aby jeden kód lístka zdieľal ľubovoľný počet cestujúcich.
Prednáška okrem uvedenia princípu hackovania SMS lístkov uvádza aj účinné či neúčinné spôsoby, ako sa tomu brániť. Medzi neúčinnými spôsobmi sa vyskytujú možnosti identifikovať používateľa cestovného lístka cez telefónne číslo či geografickú polohu alebo blokovanie telefónnych čísiel hack-servera, ktoré zasielajú priveľa požiadaviek na zaslanie SMS lístkov. Ako jediný účinný spôsob sa uvádza nutnosť registrácie používateľov cestovných lístkov s jednoznačnou identifikáciou – cez telefónne číslo a cez číslo občianskeho preukazu alebo dátum narodenia. V takom prípade by cestujúci nemusel revízorovi ukazovať kód cestovného lístka, ale občiansky preukaz, pričom revízor by vedel overiť, že či je pre danú osobu zakúpený cestovný lístok.
Podľa autora prednášky sú takýmto spôsobom zraniteľné systémy predaja SMS lístkov na Slovensku, v Českej republike a v Rakúsku. „Napriek tomu, že dopravné podniky už boli informované o tejto vážnej zraniteľnosti, tento fakt ignorujú a naďalej používajú zraniteľné systémy,“ uvádza sa v prednáške. Hoci je technicky možné súčasné systémy obísť, v praxi by realizácia hacku bola pomerne komplikovaná. Všetci účastníci zdieľania SMS lístkov by museli byť vybavení mobilnými telefónmi schopnými prostredníctvom aplikácie generovať SMS správy, musel by existovať hack-server s príslušným softvérom a najmä by musel existovať dostatočný počet používateľov zdieľaných SMS lístkov, aby sa systém vyplatil.
Uvedené komplikované fungovanie systému "SMS-hack" potvrdzuje vyjadrenie spoločnosti Mediatex, s. r. o., ktorá zabezpečuje SMS lístky pre Dopravný podnik mesta Košice: "O tomto spôsobe zneužitia SMS lístka vieme, avšak nepokladáme ho za nebezpečenstvo, pretože:
- Je na našej strane odhaliteľný (k technickým detailom sa z dôvodu prípadného zneužitia vyjadrovať nebudeme).
- Je určený len pre veľmi úzku skupinu vzájomne si dôverujúcich ľudí, pretože ide o podvod, ktorý je postihnuteľný.
- Samotný systém zneužitia má aj svoje slabiny a môže byť zneužitý. Napríklad, ak dokáže podvodník kontrolovaný revízorom zavolať revízorovi cez centrálny systém, tak dokáže zavolať aj komukoľvek inému takmer zadarmo. Podobne je to aj s SMS.
- Vyžaduje spoľahlivosť všetkých zúčastnených, ktorí po kontrole dajú systému vedieť, že ich token bol už kontrolovaný."
O reakciu sme požiadali aj Dopravný podnik Bratislava, a. s., ten sa však pre imhd.sk opäť nevyjadril.
SMS lístky nie sú jediné napadnuteľné. Pred časom bolo prezentované obídenie ochrany bezkontaktných čipových kariet štandardu Mifare, ktoré sú veľmi rozšírené na Slovensku aj v doprave. V prednáške Pavla Luptáka sa uvádza aj odkaz na prezentáciu o hackovaní cestovných lístkov v Bostone, kde je návod ako si vytvoriť cestovné lístky, hackovať karty, ale aj iné spôsoby obchádzania tamojšieho zabezpečenia tarifného vybavenia.