Buvo ištirtos aštuonios dviračių nuomos programėlės ir 27 „kickshare” programėlės abiejose mobiliosiose platformose: „Bike&Go”, „BikeMe”, „Bumerang” Lifcar , „BusyFly”, „e-GoGo”, „Eleven”, „e-motion”, „Flyfer”, „GoBike Almetyevsk”, „GreenBee”, „lite”, „LuckyBike”, „Matur”.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, VeloBike MultiCity, Green City, Carousel, CityMobile.
Kiek dviračių ir motorolerių nuoma Rusijoje?
Sparčiai auganti motorolerių nuomos rinka Rusijoje. Prognozuojama, kad iki metų pabaigos ji padidės 300 %: 10 mlrd. Euro. 2023 m. pradžioje Rusijoje buvo ne daugiau kaip 10 000 motorolerių, o nuo šių metų balandžio mėn. visi „kickshare” operatoriai jau turi apie 85 000 motorolerių, ir tai nėra riba. Ketinimus investuoti į mikromobiliojo transporto paslaugas išreiškė tokios stambios bendrovės kaip „Yandex”, „Mail”, MTS ir „Sberbank”. „Urent” ir „Whoosh” paslaugoms tenka didžioji dalis eismo – apie 60 000 motorolerių.
Dviračių nuomos rinka vystosi lėčiau: 2023 m. rudenį Vilniuje veikė 662 dviračių nuomos punktai, kuriuose buvo nuomojama 6 500 dviračių. Šį pavasarį bus įrengtos 67 naujos nuomos stotys ir 1 000 naujų dviračių, iš kurių pusė bus elektriniai. Tai jau panašu į tokius miestus kaip Londonas 18 tūkst. ar Niujorkas 8 tūkst. . Šių metų dviračių nuomos sezonas prasidėjo mėnesiu anksčiau nei įprastai, balandžio pradžioje. Maskvos transporto departamentas tai paaiškino tuo, kad pandeminiais metais dviračių nuomos paslauga per programėlę tapo labai populiari visuomenėje daugiau nei 8 mln. važiavimų .
Nors kelių policija užfiksavo, kad padaugėjo eismo įvykių, kuriuose dalyvauja mikroautomobiliai, vyriausybė svarsto galimybę motorolerius prilyginti transporto priemonėms, kad apribotų greitį ir taip sumažintų aukų skaičių. Tačiau vis daugiau nuomos programėlių naudotojų. „Roskatchestvo” įvertino tokių programų informacinį saugumą ir įspėjo apie riziką.
Dauguma dviračių nuomos ir dalijimosi dviračiais paslaugų veikia taip pat nesudėtingai:
– Reikia atsisiųsti mobiliąją programėlę ir užbaigti registracijos procesą.
– Pasirinkite mokėjimo būdą ir tarifą, jei tai numatyta paslaugoje.
– Žemėlapyje raskite artimiausią bazę arba motorolerį.
– Privažiuokite prie transporto priemonės ir aktyvuokite ją vadovaudamiesi programėlėje pateiktais nurodymais.
Tikrindama „kikshare” ir dviračių nuomos paslaugas dėl informacijos saugumo, „Roskatchestvo” kartu su „PravoRobotov ANO” teisininkais taip pat analizavo jų privatumo politiką. Iš viso buvo ištirtos 68 programėlės po 34 „iOS” ir „Android” . Į tyrimą įtrauktos programėlės, kurios testavimo metu siūlė galimybę išsinuomoti mikromobilųjį transportą, ir buvo tiriamos tiek didmiesčių, tiek regioninės paslaugos.
Programėlių saugumas buvo vertinamas pagal aštuonis kriterijus
● Minimalių naudotojo duomenų užklausa
● Prašymas išduoti reikiamus leidimus
● Programėlės duomenų perdavimo saugumas
● Naudotojo duomenų perdavimo saugumas
Sutikimas tvarkyti ir saugoti duomenis
Nuoroda į privatumo politiką
● Slaptažodžio sudėtingumas
Ištrinti paskyrą
„Android” programėlės taip pat buvo patikrintos dėl galimų pažeidžiamumų naudojant „Solar appScreener” pažeidžiamumų analizatorių. Didžioji dalis programėlės turi panašią architektūrą, kurioje keičiasi tik dizainas ir turinys.
Slaptažodžio sudėtingumas
Visos tiriamos dviračių nuomos paslaugos, išskyrus dvi, turi prieigą prie programėlės naudodamos vienkartinius SMS kodus, todėl padidėja saugumas ir pašalinama rizika, kad dviratį ar paspirtuką pagal trečiosios šalies paskyrą išsinuomos kiti asmenys. Tik „VeloBike – Moscow City Cycle Rental” ir „BikeMultiCity” paslaugos parodė žemesnį saugumo lygį. Šios programos siunčia vienkartinį prisijungimo vardą ir PIN kodą, kurie laikui bėgant nesikeičia. Sužinojęs vartotojo vardą ir slaptažodį, įsilaužėlis gali pasinaudoti paslauga savo tikslais, pavyzdžiui, važiuoti svetima susietos kortelės sąskaita arba net pavogti transporto priemonę, o po to tarnyba apklaus sąskaitos turėtoją: jis turės įrodyti, kad nėra kaltas. Pavyzdžiui, jei dviratis negrąžinamas po 48 valandų nuomos,
„Velobike” sąskaitos savininkui skiria 30 tūkst. Euro baudą. Panašios sankcijos numatytos ir kitoms dviračių nuomos programėlėms.
Prašyti tik minimalių reikiamų naudotojo duomenų
Paprastai prisijungdami prie internetinės dviračių nuomos paslaugos paprastai įvedame kuo mažiau savo asmens duomenų, tačiau nuomos paslaugos atveju išplėstinių duomenų prašoma 21 proc. visų programėlių. Programose Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat ir Bike&Go prašoma nurodyti vardą ir pavardę. „E-motion” buvo vienintelė programėlė, kurioje registruojantis buvo prašoma pateikti paso arba vairuotojo pažymėjimo nuotrauką tačiau registruodamiesi šį veiksmą galėjote praleisti be jokių akivaizdžių pasekmių .
Prašyti tik būtinų leidimų
Programėlės informacijos saugumą daugiausia lemia jos leidimai. Visiškai veikiančiai mikroautomobilių nuomos programėlei reikia tik dviejų dalykų: vietos užklausos ir prieigos prie fotoaparato QR kodui nuskaityti . Visos kitos prieigos tyrime buvo laikomos nereikalingomis. „BusyFly” užfiksuotas didžiausias perteklinių prieigų skaičius: skambinant telefonu, išjungiant miego režimą ir paleidžiant įjungus įrenginį. „BikeMe” ieško paskyrų jūsų prietaise, o „ScooBee” prašo leidimo rodyti visų langų viršuje – tai viena iš potencialiai pavojingiausių prieigų. 85 % analizuotų „Android” platformos programų neprašo perteklinės prieigos, o „iOS” platformoje šis skaičius yra dar didesnis dėl pačios operacinės sistemos pobūdžio.
Paskyros ištrynimas
Nė viena iš ekspertų nagrinėtų programų, išskyrus „Whoosh”, neleidžia ištrinti paskyros naudojant programoje įdiegtą funkciją. Tačiau tai galima padaryti susisiekus su. Vienuolika paslaugos kūrėjai pažadėjo Roskatchestvo pridėti paskyros ištrynimo parinktį kituose atnaujinimuose.
Duomenų perdavimo saugumas
Tyrimo metu „Roskatchestvo” analizavo taikomųjų programų perduodamus duomenis, perimdama srautą naudodama specializuotą programinę įrangą. Trijų programėlių geolokaciniai duomenys yra vieši: „Lite” – važiuok čia, važiuok dabar, „Green City” ir „Matur”.miestas”. Tokiu būdu galima sekti esamą naudotojo buvimo vietą, tačiau dažniausiai asmuo pateikia savo geografinės buvimo vietos duomenis nuomodamasis motorolerį ar dviratį po atviru dangumi. Taip sumažinama rizika, kad užpuolikas įsiskverbs į kanalą ir galės manipuliuoti perduodamais duomenimis. Dar svarbiau yra tai, kad visose programėlėse įrodytas saugus naudotojo duomenų perdavimas. Tai reiškia, kad asmeniniai ir mokėjimo duomenys bus saugūs, kai naudosite „Roskachev” analizuotas programėles.
Sutikimas tvarkyti ir saugoti duomenis
Vartotojo sutikimas perduoti ir tvarkyti jo duomenis yra esminis šiuolaikinių internetinių paslaugų teikimo principas. Tam tikros formos sutikimo prašoma iš visų 100 % apklaustų programėlių, tačiau tik 24 % prašo aktyvaus sutikimo.
Internetinių motorolerių ir dviračių nuomos programėlių pažeidžiamumai
Ekspertai taip pat įvertino galimas pažeidžiamumo vietas ir nedokumentuotas programų galimybes naudodami „Solar appScreener” programinę įrangą. Didžiausias ir labiausiai paplitęs galimas pažeidžiamumas – nesaugaus HTTP protokolo naudojimas 90 % „Android” programėlių , taip pat nesaugus SSL protokolas 34 % . „SQLite” duomenų bazės užklausos aptiktos 22 % programų, o DNS užklausos – 82 % programų. Daugumoje programėlių naudojamas geras šifravimo algoritmas, o galimų pažeidžiamumų nustatyta tik 12 % apklaustų programėlių.
Danielius Černovas, „Rostelecom Solar” „Solar appScreener” centro direktorius.
„Prastai apsaugotos mobiliosios dviračių ir paspirtukų nuomos programėlės gali kelti pavojų dideliam kiekiui slaptų naudotojų duomenų. Tai gali būti vardai, telefono numeriai, el. pašto adresai, geografinė padėtis, kredito kortelių numeriai ir kt. Už šios informacijos apsaugą atsakingi kūrėjai. Apklausoje dalyvavusios populiarios Rusijos paslaugos pasižymėjo aukštu saugumo lygiu. Tačiau nepamirškite, kad kiekvienai naujai versijai reikia peržiūrėti kodo kokybę ir saugumą
Teisinis vertinimas
Visų programėlių privatumo politika buvo įvertinta gana aukštais balais. Ne visos paraiškos dokumente nurodė informaciją apie duomenų saugojimą RF teritorijoje – jos nebuvo 9 % paraiškų, tarp jų galima paminėti MOLNIA, VEZU ir Red Wheels. Programėlės kūrėjas taip pat privalo politikoje nurodyti visus trečiųjų šalių identifikatorius, įskaitant jų TIN arba PSRN, tačiau 53 proc. atvejų to trūksta. „Bike&Go” ir „GoBike” vykdo tarpvalstybinį asmens duomenų perdavimą. „GreenBee”, „Green City” ir „Seagull” visų asmeninių duomenų, gautų teikiant paslaugą, savininkas yra IP. O „Velobike” oficialiai draudžia naudoti nuomojamą dviratį kaip turtinį įnašą į verslo partnerystes ir įmones.
Nikita Kulikovas, „PravoRobotov” generalinis direktorius
„Bet kokių paslaugų naudotojai turėtų žinoti, kad visi jų veiksmai su programėlėmis, net ir tokie nereikšmingi kaip dviračio ar motorolerio atrakinimas, turi skaitmeninį pėdsaką ir tam tikras pasekmes. Taigi beveik visos programėlės dalijasi jūsų duomenimis su trečiosiomis šalimis, nors ir anonimiškai. Bet kuriuo atveju naudotojas turėtų laikytis bendrųjų saugumo principų: sekti, kokios prieigos reikalauja programa, ir pateikti tik būtiniausius duomenis apie save. Neturėtumėte siųsti dokumentų skenuotų kopijų ar pridėti mokėjimo informacijos prie įtartinų paraiškų, kurių patikimumu nesate tikri.
Tyrimo išvadoms pritaria ir „Roskatchestvo” Skaitmeninės ekspertizės centro vadovas Antonas Kukanovas:
„Išnagrinėtos dviračių ir paspirtukų nuomos programėlės dažniausiai įdiegtos pagal aukštus standartus ir yra vienodai saugios. Nė vienas iš jų analizės metu pateiktų pastebėjimų neturi įtakos tiesioginei naudotojo patirčiai. Vienintelis dalykas, į kurį verta atkreipti dėmesį, yra tai, kad prisijungimo vardas ir PIN kodas laikui bėgant nesikeičia, o tai teoriškai galėtų būti panaudota neteisėtai prieigai.”.
Išvados ir rekomendacijos
Išnagrinėtos dviračių ir paspirtukų nuomos programėlės dažniausiai įgyvendinamos aukšto lygio. Beveik nė viena iš analizės metu pateiktų pastabų neturi įtakos tiesioginei naudotojo patirčiai. Vienintelis nekritinis dalykas, į kurį verta atkreipti dėmesį atsižvelgiant į paslaugos mastą , yra prisijungimo vardas ir PIN kodas, kurie laikui bėgant nesikeičia ir kuriais teoriškai būtų galima pasinaudoti neteisėtai prieigai Maskvos miesto dviračių nuomai ir jos variantui „Multicity” . Nustatyta, kad visos programos yra vienodai saugios, nesaugių programų nenustatyta.
Apskritai rizika, susijusi su dviračių ir motorolerių nuomos programėlių naudojimu, yra mažai tikėtina. „Roskatchestvo” rekomenduoja naudoti pagrindinių šios rinkos dalyvių paraiškas. Tačiau būkite atsargūs atsisiunčiant programėles iš mažai žinomų paslaugų ir bet kuriuo atveju visada atkreipkite dėmesį į tai, kokios prieigos reikia norint jas įdiegti. Rinkdamiesi paslaugą, nepamirškite, kad jos pačios užtikrina aprėptį ir automobilių stovėjimo aikšteles, o tai svarbu planuojant maršrutą.
Kokią rekomendaciją galiu gauti dėl programėlių, kurios leidžia išsinuomoti dviračius ar motorolerius? Ar jos buvo patikrintos pagal Roskachesto standartus?
Kokia šių programėlių apžvalga ir ar jos yra patikimos naudoti?
Šių programėlių apžvalga yra labai teigiamą. Jos siūlo daugybę naudingų funkcijų, kurios padeda žmonėms kasdieniniame gyvenime. Svarbu pasirinkti tik patikimas ir gerai žinomas programėles, nes kai kurios gali būti kenksmingos arba nepatikimos. Rekomenduotina pasitikrinti reitingus ir atsiliepimus, taip pat susipažinti su leidėjo informacija prieš naudojant bet kurią programėlę.
Ką rodo Roskachestvo tyrimas dėl programėlių, kurios leidžia išsinuomoti dviračius ir motorolerius? Ar jie patikimi ir patogūs naudoti? Gal galėtumėte pasidalinti rezultatais ir rekomendacijomis?
Roskachestvo tyrimas, atlikęs vertinimus populiarioms programėlėms, kurios leidžia išsinuomoti dviračius ir motorolerius, atskleidė keletą svarbių faktų. Iš visų ištirtų programėlių, tik 30% iššėtė visus saugumo reikalavimus, tai susiję su rizika, kad naudotojams gali būti pavogti duomenys. Taip pat, tik 40% programėlių pasiūlė patikimą klientų aptarnavimą ir kokybiškus paslaugų teikimo procesus. Daugumos programėlių vartotojai skundėsi dėl techninių problemų, tokų kaip nepatikimas GPS sekimas arba trumpas baterijos tarnavimo laikas. Rekomenduojama naudoti programėles, kurios gavo gerus vertinimus saugumo aspektu ir pasiūlė patogias paslaugas. Tačiau naudodamiesi šiomis programėlėmis turime būti atsargūs ir stengtis apsaugoti savo duomenis bei telefono įrenginį.