Varje gång en person åker från Kastrup utanför Köpenhamn över Öresundsbron måste man nu visa upp id-handlingar med bild. Bilden fotas sedan med en smartphone av säkerhetspersonalen och lagras i en databas upp till 30 dagar via en specialversion av appen MP Tjek. Bakom appen ligger det danska konsultbolaget Mobile People.
Nu påpekar IT-kunniga att det kan finnas grava säkerhetsbrister i appen och lagringen av bilderna.
“Jag har kollat på källkoden för appen som ligger på Google Play. Om kontrollanterna använder samma version som jag har kan bilderna som har tagits med telefonen återskapas. Det är kanske inget mannen på gatan kan göra men det är inte omöjligt på något sätt”, säger en källa till Breakit som inte vill omnämnas med namn. Han jobbar som IT-konsult och innehar viss kunskap om säkerhet på webben. Han påpekar dock att han själv inte är någon expert på appsäkerhet.
Han oroas framförallt av de faktiska bristerna men även av att han inte har fått några tydliga svar från den danska järnvägen DSB när han har ställt frågor till dem.
“Den här appen är inte gjord för att hantera den här typen av känsliga uppgifter. Jag vill veta vad som händer med telefonerna. Tar kontrollanterna med sig dem hem? Lämnas de in någonstans? Men DSB har gett väldigt vaga svar”, säger vår källa.
Tidigare i veckan rapporterade även den danska tidningen Berlingske Tidenede att en testversion av appen hackades. DSB avfärdar dock påståendet att hackandet skulle vara ett problem överhuvud taget.
“Det är frågan om en oberoende testmiljö. Den har funnits tillgänglig på Mobile Peoples (bolaget som har utvecklat appen) sajt, som inte följde samma säkerhetskrav. Testmiljön var fullständigt oberoende av den vanliga produktmiljön och har stängts ned. Både appen och det bakomliggande systemet har säkerhetstestats av en oberoende konsultfirma”, säger bolagets IT-chef Martin Börjesson.
Bolaget vill dock inte kommentera till Breakit hur testmiljön skiljer sig från den faktiska produktmiljön. Bolaget svarar inte heller på frågor om huruvida de krypterar bilderna på något sätt.
“Som jag har förtsått det skickar de bilderna över ett krypterat nät, men bilderna i sig är inte krypterade. Med den här typen av uppgifter räcker det inte att försegla kuvertet, man måste dölja själva informationen också”, säger Breakits källa.
I en intervju med den danska sajten Version2 utvecklar Martin Börjesson sin kommentar kring säkerhetsproblemen.
“Det är bara en enda person som har tillgång till persondatan och den personen måste fysiskt sitta bredvid servern för att komma åt uppgifterna”, säger han till sajten.
Det ska påpekas att DSB inte använder samma version av appen som ligger öppet i appstore. Men Martin Börjesson säger inget om hur säkerheten i appen skiljer sig från den öppna versionen.
“Jag känner inte till versionen som ligger i Androids appbutik. Det viktiga för mig är att DSB:s lösning uppskattas som säker både av vår egen it-säkerhetsavdelning och av en granskande tredjepart”, säger han till Version2.
Datan som kommer in från telefonerna lagras i Danmark och omfattas därför inte av den svenska personuppgiftslagen (PUL).
Här kan du läsa en genomgång av säkerhetsbristerna.