Hoppa till huvudinnehåll

Slänger du bort din platsbiljett när du åkt tåg? Det kan stå dig dyrt - också boardingkort är riskabla

Seriebiljett.
Obligatorisk platsbokning i samband med en seriebiljett i tågtrafiken. Dokumentet innehåller en kod som kan användas av vem som helst för att åka gratis på samma rutt. Seriebiljett. Biljett,vr

Var försiktig med dina färdbiljetter, både på nätet och offline. Någon obehörig kan annars till exempel boka om eller annullera din flygbiljett, komma åt dina kontaktuppgifter för att kunna skicka dig skräddarsydda bluffmejl, eller åka tåg med din seriebiljett.

Så här i semestertider lägger många resenärer ut bilder på sina flygbiljetter eller boardingkort på sociala medier.

Till exempel hashtaggen #boardingpass förekommer mer än 96 000 gånger på Instagram.

#Boardingpass på Instgram.
#Boardingpass på Instgram. Boardingkort

Eller så kan en resenär gå runt med sitt boardingkort fullt synligt på flygplatsen, eller slänga det i en offentlig papperskorg.

Det här trots att bokningskoden som står på de här dokumenten, och som också står på det incheckade bagaget, fungerar som ett lösenord.

Bokningskoden kan vara skriven antingen i klartext eller i form av en QR-kod eller streckkod.

– Med hjälp av bokningskoden kan man till exempel boka om flyg, och om man får tag på den innan flyget har gått så kan man avboka hela biljetten, och få fram personuppgifter och sånt. Men det varierar lite från flygbolag till flygbolag vad som är möjligt, kommenterar datasäkerhetsexperten Mikael Albrecht.

Ett boardingkort.
Ett anonymiserat boardingkort på rutten Helsingfors-London. Ett boardingkort. Boardingkort

Personuppgifterna kan bland annat utnyttjas för att komma åt ett hemligt telefonnummer eller för att skräddarsy trovärdiga lurendrejerier per mejl.

Till exempel kan en illasinnad person i ett mejl utge sig för att vara flygbolaget, vilket mottagaren troligen också går på eftersom mejlet kan innehålla uppgifter om den aktuella flygningen.

Varför finns det så mycket bilder på flygbiljetter eller boardingkort på sociala medier? Borde folk inte vara medvetna om att man inte borde ladda upp dem där?

– Jag tror att det här beror på att om man ska ut och resa - framför allt på semesterresor - så då är man uppspelt och förväntar sig mycket av det och man vill dela med sig av den här glädjen till sina vänner, säger Albrecht.

Han tillägger att han bra förstår att man laddar upp information om att man ska resa.

– Själv skriver jag ibland på Facebook om att jag ska resa, men jag lägger nog inte upp biljetter där utan gör det på något annat sätt.

mikael albrecht
Mikael Albrecht. mikael albrecht Bild: Yle/Niklas Fagerström mikael albrecht

Han konstaterar att flygbolagen främst har satsat på att deras biljettsystem ska ha bra användarvänlighet, och då lider datasäkerheten ofta.

– Nuförtiden tänker många som bygger upp system bara på användarvänligheten och det ska vara så lätt och behändigt för kunden som möjligt. Då går det väldigt lätt så att man helt enkelt kan logga in bara med en bokningskod och få tillgång till en massa funktioner och en massa information.

Fredrik Henriksson, presschef på SAS Sverige, kommenterar att det ska vara lätt att göra ändringar med hjälp av den synliga bokningskoden. Man har inga planer på att ändra systemet.

– Det är branschstandard och någonting som finns till för våra passagerare som behöver göra någon ändring i sin bokning.

Större problem inom tågtrafiken?

Inom tågtrafiken är biljettmissbruk också lätt, och risken för kunden är större.

Den som reser med en VR-seriebiljett på antingen 10 eller 30 resor, gör klokt i att skydda platsbokningsdokumentet mycket väl, och inte heller slänga bort det i en offentlig papperskorg efter tågresan.

På det dokumentet står nämligen seriebiljettens beställningsnummer som någon obehörig kan använda för att boka flera resor helt gratis och utan att ägaren får vetskap om det.

I värsta fall kan det alltså finnas 29 resor kvar på seriebiljetten. Det motsvarar till exempel ett värde på cirka 1 200 euro i klassen Extra på rutten Helsingfors-Vasa, eller ett värde på cirka 2 200 euro i samma klass på rutten Helsingfors-Rovaniemi.

Albrecht kallar det här för en stor säkerhetsmiss.

– Det här är ju en magnitud allvarligare än bokningskoderna för flyg. För här kan man faktiskt stjäla en tjänst som är betald på förhand och åka på någon annans bekostnad. Om det här verkligen stämmer så tycker jag att det här är en allvarlig grej som VR nog borde fixa så snart som möjligt.

Människor väntar på tåget vid stationen i Åbo.
Människor väntar på tåget vid stationen i Åbo. Bild: Yle/Johanna Ventus tågstationen i åbo

På tågbolaget VR bekräftar man säkerhetsproblemet, men man kallar det en funktion. Systemet fungerar som det är meningen.

– Beställningsnumret står på varje platsbokning så att det till exempel ska vara lätt att byta plats, säger VR:s pris- och produktchef Nora Härme.

Nuförtiden är det också obligatoriskt att reservera en plats när man använder VR:s seriebiljetter.

VR har man inga planer på att skärpa säkerheten. Inte heller anser man att det behövs en varningstext om att dokumentet lätt kan missbrukas.

– Inte vet jag nu om det lönar sig att betona det här. Jag tycker det är ganska klart hur biljettprodukten kan missbrukas om man förvarar den på ett ovarsamt sätt, säger Härme.

Bokning av resa med seriebiljett.
Bokning av resa med seriebiljett på VR:s webbplats. Bokning av resa med seriebiljett. Bild: Skärmdump: vr.fi VR,Biljett,tåg

Albrecht skulle däremot önska att tågbolaget införde en mer säker biljettbokning.

– Det kanske mest logiska skulle vara det att man loggar in med sina personliga uppgifter och verkligen bevisar vem man är i stället för att bara använda en seriebiljettskod. Men det gör ju inloggningen lite mer besvärlig och det blir lite mera jobb för kunden, säger han och tillägger:

– I det här fallet tycker jag att det är en förändring man definitivt borde göra för att helt enkelt bara låta någon boka resor med hjälp av ett seriebiljettsnummer låter inte särskilt säkert.

Datasäkerhetexperten Mikael Albrecht tycker också att flygbolagen borde satsa på att öka säkerheten för sina biljettsystem.

– Man saknar avvägningen mellan användarvänlighet och datasäkerhet när man bygger upp systemen, bedömer han.

En del flygbolag har ändå på sistone valt att ha högre säkerhet. Till exempel Norwegian kräver personlig inloggning för att man ska kunna komma åt vissa biljettuppgifter, bland annat för att man ska kunna ändra flygtid eller passagerarens namn.

På flygbolaget SAS, som inte kräver inloggning, säger man att det inte har förekommit otillåten användning av bokningskoderna. Samtidigt medger flygbolaget ändå att det är fullt möjligt.

Läs också

Nyligen publicerat - Inrikes