Hyppää pääsisältöön
TuoreimmatLiigaSääRikosPolitiikkaAsian ytimessä.doc
Uutiset
KotimaaUlkomaatRikosPolitiikkaTalousMielipiteetSää
Urheilu
LiigaMM-ralliJääkiekon MM-kisatJääkiekkoF1JalkapalloYleisurheilu
Viihde
SeurapiiritTV-ohjelmatElokuvatKuninkaallisetMusiikkiSalatut elämät
Lifestyle
RuokaTerveys ja hyvinvointiSeksi ja parisuhdeAutotHoroskooppi
Makuja
ReseptitRuokauutiset
Videot
MTV Uutiset LiveUusimmat
Tv-opas
Muistilista
  • MTV UutisetKonepajankuja 7
    00510 Helsinki
  • Uutistoimituksen päivystys010 300 5400
  • Uutisvinkkiuutiset@mtv.fi
  • WhatsApp040 578 5504
Sisällöt
  • Tomi Einonen
    Vastaava päätoimittaja
  • Ilkka Ahtiainen
    Uutispäätoimittaja
  • Mona Haapsaari
    Toimituspäällikkö
  • Teemu Niikko
    Toimituspäällikkö, urheilu
Liiketoiminta
  • Iina Eloranta
    VP, Channels and Digital Consumption
SuomiAreena
  • Jeremias Kontio
    Vastaava tuottaja
Muut palvelut
  • MTV Katsomo
  • SuomiAreena
Asiakaspalvelu
  • MTV Uutiset -palaute
  • MTV Katsomon asiakaspalvelu
  • Tietoa yhtiöstä
  • Avoimet työpaikat
  • Mainosta MTV:ssä
  • Tietosuojalauseke
  • Käyttöehdot
EtusivuVideotTuoreimmatLuetuimmatOdota

Yhdeksän kysymystä Trafin kohupalvelusta – Tämä on ongelmallisin piirre: "Henkilötunnuksen avulla voi ottaa esimerkiksi pikavippejä"

Trafin palvelu on suljettu toistaiseksi.
Trafin palvelu on suljettu toistaiseksi. Lehtikuva
Julkaistu 11.12.2018 17:35(Päivitetty 11.12.2018 18:56)

MTV UUTISET–STT

Liikenteen turvallisuusviraston Trafin ajokorttitietojupakka on herättänyt lukuisia kysymyksiä.

STT kokosi vastauksia keskeisiin kysymyksiin, mutta tiistaina Trafin tietojohtaja oli melko vaitonainen ja vetosi keskeneräiseen selvitykseen. Liikenne- ja viestintäministeriö pyysi maanantaina Viestintävirastolta selvitystä Trafin palveluiden tietosuojasta ja turvasta. Selvityksen on määrä olla valmis keskiviikkona.

Mitä tietoja Trafin palvelusta sai?

Trafin kuljettajatiedot-palvelusta oli mahdollista nähdä henkilön voimassaolevat ajo-oikeudet ja kuljettajan ammattipätevyystiedot. Tietoja pystyi vielä sunnuntai-iltamaan hakemaan pelkällä henkilötunnuksella tai nimen ja jonkin muun tunnistetiedon yhdistelmällä.

Miksi pelkällä henkilötunnuksella hakeminen on ongelmallista?

Kun haku toimi pelkällä henkilötunnuksella, sen perusteella oli mahdollista erilaisia yhdistelmiä kokeilemalla arvata toimivia henkilötunnuksia ja saada samalla tietoon henkilötunnuksen haltijan nimi.

Hakkeri- ja tietoturvatapahtuma Disobeyn perustanut Benjamin Särkkä pitää tätä palvelun ongelmallisimpana seikkana, sillä henkilötunnuksen loppuosa on kohtuullisen helppo päätellä ja koneellisesti arvauksia pystyy tekemään nopeastikin.

Henkilötunnuksen loppuosaan kuuluu kolme numeroa ja tarkistusmerkki, jonka määrittelyyn on olemassa laskukaava. Viimeisen merkin laskukaava on esitelty Väestörekisterikeskuksen verkkosivuilla. Lisäksi verkosta löytyy kaavaa hyödyntäviä laskureita.

Mitä näillä tiedoilla pystyi tekemään?


Särkkä huomauttaa, että identiteettivaras pystyy tekemään Suomessa aika paljon etu- ja sukunimellä, henkilötunnuksella ja kotiosoitteella. Niiden avulla voi saada esimerkiksi taloudellista hyötyä.

– Henkilötunnusta käytetään tunnistautumiseen aika usein ja sen avulla voi ottaa esimerkiksi pikavippejä, Särkkä selvensi.

Miksi palvelu mahdollisti tällaisen ja antoi hakea tietoja pelkällä henkilötunnuksella?

Trafin tietojohtaja Juha Kenraali ei vastaa suoraan kysymykseen ja kertoo, että Trafi tekee parhaillaan selvitystä asiasta liikenne- ja viestintäministeriölle.

– Olemme rauhoittaneet nyt tämän, että saamme rauhassa selvitettyä asian. Vastaamme sitten paremmin, Kenraali sanoi STT:lle.

Mitä laki sanoo?

Liikennepalvelulaissa säädetään liikenteen rekisteristä ja tietojen luovuttamisesta. Lain mukaan jokaisella on oikeus saada yksittäisluovutuksena tiedot henkilön oikeudesta kuljettaa liikennevälinettä tai muusta henkilöluvan voimassaolosta ja laajuudesta etu- ja sukunimen, henkilötunnuksen tai muun yksilöivän tunnuksen perusteella.

Lain esitöissä eli kyseistä kohtaa koskevassa hallituksen esityksessä mainitaan muun muassa, että tiedot ajo-oikeuden voimassaolotiedot koskisivat sitä, onko ajo-oikeus voimassa vai ei.

Palvelusta sai kuitenkin selville ajo-oikeuden voimassaoloon liittyviä päivämääriä, joista tietyissä tapauksissa pystyi päättelemään henkilön syntymäpäivän. Lisäksi palvelun avulla sai selville henkilön koko nimen ja asuinkunnan.

Miten tarkkaan palvelun rakentamisessa pohdittiin lain asettamia rajoja?

Trafi on kertonut aiemmin, että kuljettajatietopalvelua käynnistettäessä on arvioitu, että palvelu on lain ja EU:n tietosuoja-asetuksen mukainen. Tietojohtaja Kenraali ei halunnut tiistaina ottaa tarkemmin kantaa tähänkään kysymykseen, vaan vetosi keskeneräiseen selvitykseen.

Miksi ajo-oikeuden voimassaolon päättymispäivä näytettiin palvelussa? Miksei voimassaoloa kirjattu yksinkertaisesti maininnalla on tai ei?

Tähänkään kysymykseen Kenraali ei halunnut ottaa tarkkaa kantaa ennen selvityksen valmistumista.

– Ylipäätään tietojen näyttämisessä pyritään siihen, että siitä hyödynnettävästä tiedosta olisi mahdollisimman paljon hyötyä eri palveluissa. Se pätee muissakin kuin tässä. Tällainen ajatus siellä on kokonaisuudessa taustalla, Kenraali sanoi.

Vastaako Trafin hakupalvelu lain tarkoittamaa yksittäisluovutusta?

Kenraali kertoo, että Trafin käsityksen mukaan hakupalvelu vastasi lain tarkoittamaa yksittäisluovutusta.

– Sieltä haetaan yksittäisiä tietoja yksittäisillä hauilla, Kenraali sanoi.

Miten automaattiset haut estettiin?

Trafin palvelussa oli käytössä kuvallinen captcha-varmennus, jolla pyrittiin varmistamaan, että haun tekijä oli ihminen eikä kone. Käyttäjän oli syötettävä lomakkeelle kuvassa näkyvä numerosarja ennen kuin haun pystyi tekemään.

Captcha-varmennukset eivät kuitenkaan ole vedenpitäviä.

– Se vähän hidastaa, mutta ei se varsinaisesti estä mitään, Särkkä kertoi.

Trafin palvelun osalta Särkkä ei ottanut kantaa, kuinka tehokkaasti siinä oli automaattiset haut estetty, sillä hän ei ole testannut asiaa. 

Lisää aiheesta:

Henkilötunnuksiin ja henkilöllisyystodistuksiin uudistuksia – vuonna 2027 syntyneen hetusta ei voi enää päätellä sukupuoltaUusi paljastus Trafin henkilötunnusten vuodosta: Ongelma oli tiedossa jo elokuussa – kansalainen ehdotti ratkaisua, mutta sitä ei aluksi kuunneltuViestintävirasto on antanut arvionsa Trafin palveluiden tietoturvastaMinisteriö pyytää selvitystä Trafin tietoturvastaTunnettu poliisikin ihmetteli, miksi hänen turvakiellolla piilotetut ajokorttitiedot näkyvät –Trafin sähköinen asiointipalvelu pysyy toistaiseksi kiinniViestintäoikeuden professori näkee ongelmia Trafin ajokorttitietoja antaneessa palvelussa
TietoturvaAutotSuomiKotimaa

Tuoreimmat aiheesta

Tietoturva
  • 30.10.19:57
    Pankit

    Tämä arkinen asia altistaa digihuijauksille – "Pankit eivät tee tarpeeksi", sanoo IT-asiantuntija

  • 30.10.15:57
    Danske Bank

    Huijaukset liikaa – Danske Bank pohtii Turvatili-nimen vaihtamista

  • 28.10.11:54
    Aktia Pankki

    Aktialle liki miljoonan euron rapsut – laiminlöi tietoturvallisuuden

  • 26.10.22:49
    Ruotsi

    Ruotsin kantaverkkoyhtiö tietomurron kohteena – hakkeriryhmä uhkaa julkaista dataa

  • 16.10.16:38
    Kymenlaakso

    Työntekijän epäillään tarkastelleen luvatta lähes 600 ihmisen terveystietoja