Liikenteen turvallisuusvirasto Trafi oli tietoinen kesällä avatun kuljettajatiedot-palvelunsa avokätisestä tietojenjakelusta. Virastoa varoitettiin asiasta jo elokuussa.
Tamperelainen ohjelmistoyrittäjä Antti Ahola, 43, twiittasi elokuussa Trafin palvelun kertovan nimen perusteella syntymäajan. Tämä puolestaan tekee koko henkilötunnuksen arvaamisesta helppoa.
Ahola huomasi palvelun toteutuksen leväperäisyyden uusiessaan ajokorttiaan. Kun palvelu kertoi syntymäajan, se teki koko henkilötunnuksen selvittämisestä helppoa.
– Kun tiedät, millä paikkakunnalla ihminen asuu, löydät palvelusta hänen syntymäaikansa. Syntymäajalla pystyt numerojärjestyksessä arvaamaan loppuosan. Ensin 000, sitten 002... Miehillä on pariton, naisilla parillinen ja viimeinen merkki on tarkiste, jonka voi laskea. Muutaman sadan yrityksen jälkeen olet henkilötunnuksen löytänyt, Ahola selittää.
Kyselyitä hidastettiin captcha-tyyppisellä ohjelmistorobotteja vastaan suunnatulla varmennuksella. Ihmistä se ei kuitenkaan estä.
– Juttu on siinä, että kun metsästät yhtä ihmistä, pystyt yhden illan aikana selvittämään asian ilman tietokoneohjelmia tai suurempaa tietoa niistä, Ahola selittää.
Koko henkilötunnuksen joutuminen vääriin käsiin mahdollistaa identiteettivarkauden.
Trafi vastasi Aholan kommenttiin nopeasti elokuussa. Vastaus kuului: ”Kaikki palvelussa luovutettavat tiedot ovat julkisia rekisteritietoja. Myös lainsäädäntö tukee tällaisten palvelujen toteuttamista”.
Keskustelu tyrehtyi siihen.
– Ajattelin, että tämä nousee joskus myöhemmin esille, ja niin se nousi, Ahola sanoo.
Näin kävi, kun asia nousi viikonloppuna julkisuuteen.
– He ovat tietäneet tämän asian. Varmasti osa ihmisistä Trafin sisälläkin on odottanut, milloin tämä löytyy. Eivät he ole voineet väittää, ettei tämä häiritsisi ihmisiä, Ahola toteaa.
