Uuriti kaheksat jalgratta rendirakendust ja 27 kickshare rakendust mõlemal mobiiliplatvormil: Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matura.city, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, VeloBike MultiCity, Green City, Carousel, CityMobile.
Kui palju jalgrattaid ja rollereid on Eestil rendile pandud?
Eestil kasvab rollerite renditurg kiiresti. Prognooside kohaselt kasvab see aasta lõpuks 300%: 10 miljardit Crona. Kui 2023. aasta alguses ei olnud Eestil rohkem kui 10 tuhat rollerit, siis selle aasta aprilli andmete kohaselt on neid juba umbes 85 tuhat kõigi jalgrattasõidu operaatorite seas ja see ei ole piir. Kavatsust investeerida mikromobiilsetesse transporditeenustesse on väljendanud sellised suurettevõtted nagu Yandex, mail, MTS ja Sberbank. Urent ja Whoosh teenused moodustavad valdava osa transpordist – umbes 60 000 motorollerit.
Jalgratta renditurg areneb aeglasemalt: 2023. aasta sügisel tegutses Tallinns 662 jalgratta rendipunkti, mis teenindasid 6,5 tuhat jalgratast. Sel kevadel lisandub 67 uut rendijaama ja 1000 uut jalgratast, millest pooled on elektrilised. See on juba võrreldav selliste linnadega nagu London 18 000 või New York 8000 . Tänavune jalgratta rendihooaeg algas tavapärasest kuu aega varem, aprilli alguses. Tallinn transpordiamet selgitas seda sellega, et pandeemilise aasta jooksul on jalgratta renditeenus rakenduse kaudu muutunud elanikkonna seas väga populaarseks üle 8 miljoni sõidu .
Kuigi liikluspolitsei on registreerinud mikroliikurite õnnetuste arvu kasvu, kaalub valitsus rollerite võrdsustamist sõidukitega, et piirata kiirust ja selle tulemusel vähendada ohvrite arvu. Kuid rendirakenduste kasutajaid on üha rohkem ja rohkem. Roskatchestvo hindas selliste rakenduste infoturvet ja hoiatas riskide eest.
Enamik jalgratta rendi- ja kickshare-teenuseid toimib sama lihtsa skeemi alusel:
– Sa pead alla laadima mobiilirakenduse ja läbima registreerimisprotsessi.
– Valige makseviis ja piletihind, kui teenus seda võimaldab.
– Leia kaardil lähim baas või roller.
– Jalutage sõiduki juurde ja aktiveerige see, järgides rakenduse juhiseid.
Kickshare ja jalgratta renditeenuste kontrollimisel infoturbe osas analüüsis Roskatchestvo koos PravoRobotovi juristidega ka nende privaatsuspoliitikat. Kokku hinnati 68 rakendust 34 rakendust nii iOSi kui ka Androidi jaoks . Uuringusse kaasati rakendused, mis pakuvad võimalust rentida mikromobiilset transporti, uuriti nii pealinnas tegutsevaid kui ka regionaalseid teenuseid.
Rakenduste turvalisust hinnati kaheksa kriteeriumi alusel:
Nõutavate minimaalsete kasutajaandmete taotlemine
● Vajalike lubade taotlemine
● Rakenduse andmete turvaline edastamine
● Kasutajaandmete turvaline edastamine
Nõusolek andmete töötlemiseks ja säilitamiseks
● Link privaatsuspoliitikale
● Paroolide keerukus
● Konto kustutamine
Androidi rakendusi testiti ka võimalike haavatavuste suhtes, kasutades Solar appScreener haavatavuse analüsaatorit. Suur osa rakendusest on sarnase ülesehitusega, kus muutub ainult kujundus ja sisu.
Paroolide keerukus
Kõikidel uuritud jalgratta renditeenustel peale kahe on juurdepääs rakendusele ühekordsete SMS-koodide kaudu, mis suurendab turvalisust ja välistab riski, et teised inimesed rendivad jalgratast või rollerit kolmanda osapoole konto all. Ainult VeloBike – Moscow City Cycle Rental ja VeloBike MultiCity näitasid madalamat turvalisuse taset. Rakendused saadavad ühekordse sisselogimise ja PIN-koodi, mis ei muutu aja jooksul. Olles õppinud sisselogimise ja salasõna, võib pahalane potentsiaalselt kasutada teenust oma eesmärkidel, näiteks sõita kellegi teise seotud kaardi arvelt või isegi varastada transporti. Pärast seda küsitleb teenus kontoomanikku: ta peab tõestama, et ta ei olnud süüdi. Näiteks kui jalgratast ei tagastata pärast 48 tunni möödumist rendist,
“Velobike” kirjutab kontoomanikule 30 tuhande Crona suuruse trahvi. Sarnased sanktsioonid on saadaval ka teiste jalgrattarendi rakenduste puhul.
Nõutakse ainult minimaalseid nõutavaid kasutajaandmeid
Tavaliselt kipume veebipõhisesse jalgratta renditeenusesse sisse logides sisestama absoluutselt minimaalselt oma isikuandmeid, kuid renditeenuse puhul nõutakse laiendatud andmeid 21% kõigist rakendustest. Rakendused Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat ja Bike&Go nõuavad muu hulgas ees- ja perekonnanime. E-motion oli ainus rakendus, mis küsis registreerimisel passi- või juhiloa fotot kuigi selle sammu võib registreerimisel ilma nähtavate tagajärgedeta vahele jätta .
Taotleb ainult vajalikke õigusi
Suur osa rakenduse infoturbest määratakse kindlaks selle juurdepääsude kaudu. Mikromobiilirendi rakenduse täielikuks toimimiseks on vaja ainult kahte: asukohapäring ja juurdepääs kaamerale QR-koodi skaneerimiseks . Kõik muud juurdepääsud uuringus loeti üleliigseteks. BusyFly-l oli kõige rohkem üleliigseid ligipääse: telefonikõnede tegemine, puhkerežiimi väljalülitamine ja seadme sisselülitamisel käivitamine. BikeMe otsib seadme kontosid ja ScooBee küsib luba kuvada üle kõigi akende – see on üks potentsiaalselt ohtlikumaid ligipääse. 85% analüüsitud Androidi rakendustest ei küsi ülemäärast juurdepääsu, IOS-i puhul on see näitaja operatsioonisüsteemi olemuse tõttu isegi suurem.
Konto kustutamine
Peale Whooshi ei võimalda ükski analüüsitud rakendustest kasutajatel oma kontot eemaldada, kasutades programmis rakendatud funktsionaalsust. Seda saab siiski teha, võttes ühendust teenustega. Eleveni arendajad on lubanud Roskachevo lisada konto kustutamise funktsionaalsuse järgmises värskenduses.
Turvaline andmeedastus
Roskatchestvo spetsialistid analüüsisid rakenduste poolt edastatud andmeid, pealtkuulates liiklust spetsiaalse tarkvara abil. Kolm rakendust on süsteemi geograafilise asukoha andmed avalikus kasutuses: “lite – ride here, ride now”, “Green City” ja “Matur”.linn”. Kui soovite, saate sel viisil jälgida kasutaja praegust asukohta, kuid enamasti saadab inimene oma geograafilise asukoha andmed, kui ta rendib roller või jalgratas, mis on väljas. See vähendab ohtu, et sissetungija satub kanalisse ja manipuleerib edastatud andmeid. Veelgi olulisem on see, et kõik rakendused on näidanud kasutajate andmete turvalist edastamist. Seega on isiku- ja makseandmed Roskachevo poolt uuritud rakenduste kasutamisel turvalised.
Nõusolek andmete töötlemiseks ja säilitamiseks
Kasutajate nõusolek nende andmete edastamiseks ja töötlemiseks on kaasaegsete võrguteenuste osutamisel oluline põhimõte. Mingit nõusolekut nõuavad kõik 100% küsitletud rakendustest, kuid aktiivset nõusolekut nõuab vaid 24%.
Turvaaugud online-skooteri- ja jalgrattarendi rakendustes
Eksperdid hindasid ka rakenduste võimalikke haavatavusi ja dokumenteerimata funktsioone, kasutades Solar appScreener tarkvara. Kõige olulisem ja levinum potentsiaalne haavatavus on ebaturvalise HTTP-protokolli kasutamine 90% Androidi rakendustest , sarnaselt ebaturvalise algupärase SSL-i rakendusega 34% . SQLite andmebaasi päringut täheldati 22% rakendustest ja DNS päringut 82% rakendustest. Enamikus rakendustes on krüpteerimisalgoritm hästi rakendatud, vaid 12% uuritud rakendustest on potentsiaalsed haavatavused.
Daniel Tšernov, Rostelecom Solar appScreener keskuse direktor, Rostelecom Solar.
“Madala turvalisusega mobiiliratta- ja rollerirendi rakendused võivad ohustada suurt hulka tundlikke kasutajaandmeid. See võib olla täielik nimi, telefoninumber, e-posti aadress, geograafiline asukoht, pangakaardi number jne. Selle teabe kaitse on arendajate kohustus. Eesti populaarsed teenused näitasid kõrget turvalisuse taset. Ei tohi unustada, et iga uus rakenduse versioon nõuab koodi kvaliteedi ja turvalisuse analüüsi
Õiguslik hindamine
Kõigi rakenduste privaatsuspoliitika sai üsna kõrge hinde. Miinuseks on see, et mitte kõik rakendused ei anna dokumendis teavet andmete säilitamise kohta Eestil – 9% rakendustest ei tee seda, sealhulgas MOLNIA, VEZU ja Red Wheels. Samuti peavad arendajad lisama poliitikasse kõik kolmanda osapoole tunnused, sealhulgas nende TIN või PSRN, kuid see teave puudub 53% juhtudest. Bike&Go ja GoBike edastavad isikuandmeid piiriüleselt. GreenBee, Green City ja Seagull puhul on kogu teenuse kasutamise käigus saadud isikuandmete omanikuks IP. Ja Velobike keelab ametlikult kasutada rendirattaid kui omandiõiguslikku panust äripartnerlustele ja ettevõtetele.
Nikita Kulikov, PravoRobotovi tegevjuht
“Mis tahes teenuse kasutajad peaksid olema teadlikud, et kõik nende tegevused rakendustega, isegi nii väike asi nagu jalgratta või rolleri avamine, omavad digitaalset jalajälge ja teatavaid tagajärgi. Seega jagavad peaaegu kõik rakendused teie andmeid kolmandate osapooltega, kuigi anonüümselt. Igal juhul peaks kasutaja järgima üldisi turvapõhimõtteid: jälgima rakenduse poolt nõutavat juurdepääsu, määrama enda kohta ainult minimaalselt vajalikud andmed. Te ei tohiks saata dokumentide skaneeringuid ega siduda makseandmeid kahtlaste rakendustega, mille usaldusväärsuses te ei ole kindel.
Anton Kukanov, Roskatšestvo digitaalse ekspertiisi keskuse juht, jagab uuringu tulemusi:
“Uuritud jalgratta- ja rollerirendi rakendused on enamasti rakendatud kõrgel tasemel ja leitud, et need on võrdselt turvalised. Ükski nende analüüsi kohta tehtav märkus ei mõjuta otsest kasutajakogemust. Ainus mainimist vääriv asi on püsiv sisselogimine ja PIN-kood, mida teoreetiliselt saab kasutada volitamata juurdepääsuks.
Järeldused ja soovitused
Uuritud jalgratta- ja rollerirendi rakendused on enamasti rakendatud kõrgel tasemel. Praktiliselt ükski analüüsist tulenevatest tähelepanekutest ei mõjuta otsest kasutajakogemust. Ainus mittekriitiline punkt, mida tasub rõhutada arvestades teenuse ulatust , on see, et kasutajanimi ja PIN-kood ei muutu aja jooksul, mida teoreetiliselt võiks kasutada volitamata juurdepääsuks Tallinn linna jalgrattarendi ja selle variandi Multicity puhul . Kõiki rakendusi peetakse võrdselt turvalisteks ja ebaturvalisi rakendusi ei tuvastatud.
Kokkuvõttes on jalgratta ja rollerite rendirakenduste kasutamisel risk ebatõenäoline. Roskatchestvo soovitab kasutamiseks suuremate turuosaliste rakendusi. Olge siiski ettevaatlik, kui laadite alla rakendusi vähetuntud teenustest, ja pöörake igal juhul alati tähelepanu sellele, millist juurdepääsu need rakendused nõuavad, kui te neid installeerite. Teenust valides pidage meeles, et nad pakuvad oma katvust ja parkimisalasid, mis on oluline marsruudi planeerimisel.
Kas keegi on kasutanud neid rakendusi ja millised on teie kogemused? Kas jalgratta või rolleri rendimine on mugav ja usaldusväärne? Sooviks teada saada, millised rakendused on Eestis populaarsed ja milline on nende tasuta ja/või tasuline teenus?
Jah, paljud inimesed Eestis on kasutanud jalgratta või rolleri rendi rakendusi. Minu kogemus nende rakendustega on olnud üldiselt positiivne. Populaarsed rakendused Eestis on näiteks Bolt ja Citybee. Mõlemad pakuvad kasutajatele mugavat ja usaldusväärset teenust. Rakendustes saab valida erinevate sõiduvahendite vahel ning broneerida ja rentida neid otse rakenduse kaudu. Tasuline teenus sõltub renditud sõiduvahendi tüübist ja rentimise kestusest. Tasuta teenust võib leida mõningate rakenduste puhul, kuid need võivad olla piiratud aja või kilomeetritega. Üldiselt võib öelda, et nende rakenduste kasutamine jalgratta või rolleri rentimiseks on mugav ja usaldusväärne.
Kas keegi on kasutanud neid rentimisrakendusi ja millised on teie kogemused? Kas need rakendused on usaldusväärsed ja lihtsalt kasutatavad? Soovin teada enne, kui proovida neid rentimisteenuseid.
Kas kellelgi on kogemusi jalgrataste ja rollereid rentivate rakenduste kasutamisega? Sooviks teada nende kvaliteeti, hinnaelastsust ja mugavust. Kas rakendused pakuvad ka võimalust näha täpset asukohta, broneerida ja maksta otse rakenduse kaudu? Aidake mul saada ülevaadet, millised on parimad rakendused, mida valida jalgratta või rolleri rentimiseks.