Пътувай безплатно в София: Епизод ІІ

Почти безплатното пътуване в градския транспорт на София с електронна карта все още е възможно, въпреки че правилата за ползване на виртуалните превозни документи бяха затегнати.

След публикация на Mediapool как неограничен брой хора могат да ползват една и съща електронна дневна карта за цялата мрежа срещу 4 лева, бяха въведени ограничения за влизане в онлайн платформата за тези превозни документи. Сега в един акаунт в платформата sofia.mpass.bg може да се влиза само от две устройства, което на теория значително ограничава злоупотребите.

Все още обаче остава офлайн възможност за ползване на електронните карти от повече от един човек. За нея не се изискват кой знае какви познания. Единственото нужно е да се направи скрийншот на купената карта от екрана на телефона. Репортер на Mediapool успя да влезе в метрото, сканирайки на входа снимка на електронната си карта. Въпросната снимка може да се изпрати на други хора, които също да я използват, за да преминат през турникетите на входовете на метростанциите, заобикаляйки ограничението за вход в системата от до две устройства.

По неофициална информация пътници са успели да ползват градския транспорт в първия ден от пускането на е-услугата, след като направили скрийншот на картата, показана пред медиите от кмета Йорданка Фандъкова.

Реакция

"В периода на теста, и до момента, са регистрирани 15 опити за различен тип злоупотреба, включително и няколко такива за пътуване със скриншот на кода на картата. При използването на карта от този тип сигналите за нетипично поведение се засичат в реално време. Това ни дава възможност не само да вземем незабавни мерки, но и да направим необходимите анализи. Въведени са и механизми за автоматично блокиране на потребители при регистриране на съмнително поведение", обясниха от Центъра за градска мобилност (ЦГМ), който продава картите за градския транспорт и следи за редовността на пътниците.

От там добавиха, че след въвеждането на ограничението за влизане в един от акаунт от максимум две устройства, са блокирани 14 потребителски профила.

Добавиха, че при проверка от контрольор щяло да се установи, че има проблем с картата. На устройствата на контрольорите се показвала повече информация за превозния документ, как е купен и ползван. Засега глоби не се налагали, въпреки че имало основание за това.

Не е ясно обаче каква повече информация могат да видят контрольорите, ако човек пътува само с наземен транспорт, където четци за електронните карти няма. Те се купуват през сайт, а не през мобилно приложение, което на теория би могло да проследява местоположението на собствениците на съответния акаунт, както прави фейсбук, например.

По време на експеримента на Mediapool не се натъкнахме на проверка от контрольори, за да установим дали действително ще има проблем със сниманата карта. Съмнително е обаче дали дори и да бъде наложена глоба, тя ще издържи при евентуално дело в съда. На практика превозният документ - QR кода, не е подправен, че да има санкция по тази хипотеза. Евентуалната санкция би била блокиране на акаунта, от който е купена картата, какъвто беше и случаят с използването на един профил от много хора.

Пропуск

Офлайн пробивът в системата е възможен заради начина, по който е направена тя. Самата технология на генериране и сканиране на QR код съвсем не е сред последните решения в областта. Тя може да създаде много проблеми за потребителите - заради особености на екрана четците може да не успеят да сканират кода, в който се съдържа информацията за купената карта. Самото "прочитане" на картата изисква устройството да бъде поставено по определен начин и определено отнема време.

Все пак тази технология се използва и другаде по света, но с тази подробност, че генерираният при покупката на картата код се променя през определен период от време. Така работят и някои системи за сигурност на потребителите като тази на популярното приложение за съобщения WhatsАpp. При него се иска сканиране на QR код, когато потребител иска да ползва приложението на компютър, а не на телефон. В такива ситуации се вижда с просто око как кодът се сменя на всеки няколко секунди. Така на практика не може системата да се заобиколи със скрийншот. Нещо, което не забелязахме в сайта mpass.bg.

От ЦГМ твърдят, че и при системата, ползвана от тях, QR кодът се променя през определен период от време. Не уточниха какъв е той от съображения за сигурност. Репортер на Mediapool обаче влезе в метрото с код, сниман три часа преди това.

Електронна карта, снимана през около 40 минути. QR кодът изглежда непроменен.

ИТ специалисти смятат, че проблемите с електронните карти са заради набързо и не толкова качествено изпълнена поръчка. Димитър Димитров от компанията "Тики", която също предлага електронни билети, но за метрото и няколко автобусни линии, също смята, че има проблем. Той обясни, че при пускането на нощния градски транспорт през април, започнал разговори със Столичната община приложението на "Тики" да може да се ползва и в нощните линии.

Получил съгласието на зам.-кмета по транспорта Евгени Крусев, който го посъветвал да говори и с директора на ЦГМ Христиан Петров. Петров забавил отговора си до края на май, когато отказал. Димитров междувременно разбрал, че общинското дружество е обявило и приключило набирането на оферти за "софтуерно решение" за модернизация и оптимизация на начина на заплащане и разпространение на превозни документи. А тези превозни документи са дневната карта за всички линии и тази за нощните автобуси.

Кой е изпълнителят

Сайтът mpass.sofia.bg е правен от консорциумът "Тиксеу", в който влизат фирмите "Тиксеу" (с по-голям дял) и "Арбикс". И двете не са познати на конкурентния ИТ пазар в България. Соченото за основен изпълнител дружество "Тиксеу" е създадена само седмица преди ЦГМ да обяви поръчката за софтуерното решение. Набирането на оферти е от 17 до 25 май.

Постъпват три заявления - на "Тиксеу", на "Консултантска агенция за информационни технологии" (КАИТ) и на дружеството "Ай Ти флайт". Последната фирма е отстранена заради пропуски в документацията. Така на финалната права остават КАИТ и "Тиксеу".

КАИТ е собственост на дружеството "Тикси" и се управлява от Николай Недялков. "Тиксеу" към онзи момент е еднолична собственост на Антоан Велчев. Той излиза като собственик в още две дружества, чиито имена се появяват в публичното пространство във връзка със заявления в община Кочериново за поставяне на защитни мрежи на овощни насаждения в общината.

"Тиксеу" печели с по-ниската си цена - 12.3% от приходите от продадени карти или до 70 000 лева за три години, срещу 12.9 на сто от постъпленията, предложени от КАИТ.

На 7 юни консорциумът между "Тиксеу" и "Арбикс" вече е избран за изпълнител на поръчката. Системата за електронни карти и билети беше официално пусната на 12 юли. Пет дни по-късно едноличният до тогава собственик на "Тиксеу" Антоан Велчев, който участва в две други компании, които нямат общо с ИТ сектора, се сдобива със съдружник. Той продава 33% от новорегистрираната си фирма на Борислав Велчев Велинов. Велинов участва в няколко други фирми, а в една от тях е свързан с бившия футболист и столичен общински съветник от ГЕРБ Иво Тонев.

Според Димитър Димитров от "Тики" е странно, че ЦГМ е решил да даде толкова голям процент от приходите на фирмата, която прави софтуера за електронни карти. Той обясни, че неговото дружество получава по 4 на сто от постъпленията от продаден билет през мобилното си приложение.

Съмнения

Развитието на нещата след спечелването на поръчката създава съмнения и за това дали наистина процедурата е била конкурентна. Към момента собственик на домейна mpass.bg не е изпълнителят на поръчката "Тиксеу", а фирмата "Тикси". Тази фирма реално има правото да управлява домейна, тъй като това става с електронен подпис и няма как това право да се делегира на друг. Така реално нито изпълнителят "Тиксеу", нито възложителят ЦГМ имат контрол над домейна.

"Тикси" притежава участвалата в поръчката компания КАИТ. Управителят на КАИТ и съокционер в "Тикси" - Николай Недялков, присъства на събитието, на което кметът Фандъкова и шефът на ЦГМ Христиан Петров обявиха пускането на електронните карти. Освен него собственост в "Тикси" има и фондът за рискови инвестиции "Ню Юръп Венчър Екуити Ел Пи" (правоприемник на инвестиционния фонд за рисково финансиране Neveq). "Тикси" участва в българо-турския консорциум, който беше избран да прави системата за електронно таксуване в градския транспорт на столицата.

Кметът Йорданка Фандъкова, заместникът ѝ Евгени Крусев (в средата), шефът на общинското дружество "Метрополитен" Стоян Братоев (вляво) по време на представянето на сайта за електронни карти. Зад тях е съсобственикът в "Тикси" Николай Недялков. Снимката е от профила на кмета във фейсбук.

Mediapool не успя да се свърже с "Тиксеу", за да разбере защо компанията, която би трябвало да има опит, за да спечели поръчката на ЦГМ, не е регистрирала сама домейна, а е поверила това на основния си конкурент.

От "Тикси" обясниха, че те имат собствена платежна система и "Тиксеу" се обърнали към тях, за да я ползват за покупки през сайта си, а регистрирали и конфигурирали домейна, за да тръгне услугата по-бързо. Самата регистрация всъщност става доста бързо.

"Тикси" разполага със собствена платежна платформа, интегрирана с платежни оператори като Braintree/PayPal, еPay/"Изипей", както и с български и  международни доставчици на телекомуникационни услуги, включително Amazon за целите на управление на SMS-и към потребители по целия свят", обясниха от "Тикси".

И добавиха: "Предполагаме това е причината, поради която към нас се обърна консорциум "Тиксеу", които имат ангажимент да осигурят различни канали за плащане, интегрирани с тяхното технологично решение за ползване на превозни документи. Поради опита ни в тази сфера ние успяхме бързо да предоставим възможност за плащане посредством нашата платежна система чрез виртуален ПОС терминал и чрез А1. За да ускорим стартирането на платежните услуги, ние направихме организацията и конфигурацията на домейн mpass.bg, но собствеността ще остане на консорциум "Тиксеу".

Според "Тикси" в момента се водят преговори и с други трети страни, които предоставят канали за плащане – банки, платежни оператори и интегратори на телекомуникационни услуги. "Ние нямаме участие в консорциума и отношения, освен като един от доставчиците на канали за плащане", твърдят от "Тикси".

"Изпълнителят на поръчката - консорциум "Тиксеу", ни предостави нужните уверения, че има права върху собствеността на домейна mpass.bg. Предвид факта, че са ползвали "Тикси" за доставчик на платежни услуги, и по-конкретно за доставчик на услуги за плащане с банкови карти и през мобилен оператор, са им възложили да направят и съответната регистрация и конфигурация на mpass.bg директно в тяхната платежна инфраструктура. Целта е по-ефективно и по-бързо осигуряване на работата на платежните канали", обясниха от ЦГМ.