Liikenteen turvallisuusviraston Trafin ajokorttitietojupakka on herättänyt lukuisia kysymyksiä.
STT kokosi vastauksia keskeisiin kysymyksiin, mutta tiistaina Trafin tietojohtaja oli melko vaitonainen ja vetosi keskeneräiseen selvitykseen. Liikenne- ja viestintäministeriö pyysi maanantaina Viestintävirastolta selvitystä Trafin palveluiden tietosuojasta ja turvasta. Selvityksen on määrä olla valmis keskiviikkona.
Mitä tietoja Trafin palvelusta sai?
Trafin kuljettajatiedot-palvelusta oli mahdollista nähdä henkilön voimassaolevat ajo-oikeudet ja kuljettajan ammattipätevyystiedot. Tietoja pystyi vielä sunnuntai-iltamaan hakemaan pelkällä henkilötunnuksella tai nimen ja jonkin muun tunnistetiedon yhdistelmällä.
Miksi pelkällä henkilötunnuksella hakeminen on ongelmallista?
Kun haku toimi pelkällä henkilötunnuksella, sen perusteella oli mahdollista erilaisia yhdistelmiä kokeilemalla arvata toimivia henkilötunnuksia ja saada samalla tietoon henkilötunnuksen haltijan nimi.
Hakkeri- ja tietoturvatapahtuma Disobeyn perustanut Benjamin Särkkä pitää tätä palvelun ongelmallisimpana seikkana, sillä henkilötunnuksen loppuosa on kohtuullisen helppo päätellä ja koneellisesti arvauksia pystyy tekemään nopeastikin.
Henkilötunnuksen loppuosaan kuuluu kolme numeroa ja tarkistusmerkki, jonka määrittelyyn on olemassa laskukaava. Viimeisen merkin laskukaava on esitelty Väestörekisterikeskuksen verkkosivuilla. Lisäksi verkosta löytyy kaavaa hyödyntäviä laskureita.