Kuka tahansa voi liittää luottokorttisi MobilePay-mobiilimaksusovellukseen ja käyttää sitä, jos saa kortin numerot tietoonsa.

Juha Kurikka ei ollut itse ladannut MobilePayta, mutta joku oli liittänyt hänen luottokorttitietonsa itselleen.­

Helsinkiläinen Juha Kurikka nollasi luottokorttinsa saldon ja ällistyi seuraavana päivänä tarkistaessaan, oliko toimi onnistunut.

– Löysin 430 euron katevarauksen, joka oli minulle täysin tuntematon, hän kertoo.

Kurikan mukaan oli sattumaa, että hän tuli tarkistaneeksi tapahtumat. Läheskään aina hän ei ole käynyt niitä läpi.

Outo maksu oli tehty MobilePay-mobiilisovelluksella henkilölle, jota Kurikka ei tunne. MobilePaytä Kurikka ei käytä eikä ole ladannut sitä puhelimeensa. MobilePayn asiakaspalvelusta Kurikalle vahvistettiin, että kukaan ei myöskään ole asentanut sovellusta hänen tiedoillaan.

Kun MobilePay-tili rekisteröidään, käyttäjän henkilöllisyys todennetaan pankkivarmenteilla.

– Myöhemmin hän voi kuitenkin liittää siihen viisi uutta korttia, Kurikalle kerrottiin.

Lisättävät kortit voivat kuulua kenelle tahansa. Lisäys onnistuu, jos tietää kortin numeron, voimassaoloajan ja kolminumeroisen CVC-tunnisteen.

– Kortin haltijalle liittämisestä ei lähde minkäänlaista ilmoitusta.

Hänen ystävänsä testasi asian vaimonsa kanssa. Vaimolla on MobilePay-tili ja hän liitti miehensä luottokorttitiedot siihen. Tämä onnistui, eikä mies saanut tietoa asiasta.

Kurikka ei käsitä, miten tällainen voi olla mahdollista pankin tuottamassa sovelluksessa. Hän suosittelee, että jokainen tarkastaa korttinsa maksutiedot.

– Tietoturvajärjestelmässä on norsun mentävä aukko, hän sanoo.

Lisätystä luottokortista ei kerrota

MobilePay Suomen toimitusjohtaja Anniina Heinosen mielestä asia vaikuttaa korttirikokselta.

– Kaikki lähtee siitä, ovatko omat kortit tallessa ja suojassa. Tämä ei ole MobilePay-liitännäinen asia, hän sanoo.

Kortin numerot voivat päätyä vääriin käsiin esimerkiksi epäilyttävien verkkokauppojen kautta. Väärinkäytöksen kohteeksi joutuneen tulee Heinosen mukaan ilmoittaa asiasta kortin myöntäneelle pankille ja mobiilimaksuyhtiöön eli heille.

Heinonen vahvistaa, että MobilePayhin voi liittää yhteensä kuusi maksukorttia. Hän perustelee tätä käyttömukavuudella, sillä monella on käytössään useita kortteja. Esimerkiksi Debit/credit-yhdistelmäkorttien sekä pankki- että luotto-ominaisuuksia käyttö MobilePayssä vaatii, että kummankin toiminnon tiedot viedään sovellukseen erikseen. Yhden kortin tiedot vievät siis tavallaan kahden kortin paikan.

Miksi sovellus ei tarkista, ovatko käyttäjän syöttämät kortit hänen omiaan ja lähetä varmuuden vuoksi kortin haltijalle tietoa asiasta?

– Väärinkäytöksiä on ollut minimaalisesti. Toistaiseksi tällaiselle ei ole ollut tarvetta, Heinonen sanoo.

Ylimääräiset selvitykset hidastaisivat Heinosen mukaan sovelluksen käyttöönottoa. Hän huomauttaa, että väärinkäytöksiä estää se, että MobilePayn käyttäjä tunnetaan ja tiedetään.

– Jos MobilePayssa on käytetty varastettua korttia, pystymme jäljittämään kaikki tapaukset ja yhdistämään ne väärinkäyttäjään, hän sanoo.

Kortti on ollut tallessa koko ajan

Kurikka on hämmentynyt. Korttiaan hän pitää kännykkäkotelossaan eikä ole hukannut sitä missään vaiheessa. Lentoja hän ostaa luottokortillaan, mutta ei juuri muuten tee verkko-ostoksia.

Kurikka työskentelee it-alalla. Hän tarkisti vielä tietokoneensa tietoturvan ja palomuurit, eikä löytänyt puutteita. Luottokorttinsa tietoja hän ei ole tallentanut.

Jokainen voi kuvitella tilanteita, joissa ulkopuoliset voivat saada luottokortin tietoja. On esimerkiksi tavallista, että lähimaksun maksaja siirtelee korttiaan laitteen puolelta toiselle niin, että tärkeät numerot vilahtelevat.

– Voihan joku kuvata vaikka kännykkäkameralla videota kaupan kassalla, kun pyörittelet korttia kädessäsi, Kurikka miettii.

Väärinkäyttäjä voi päästä tätäkin helpommalla, jos saa kortin hetkeksi lähelleen. Kurikka huomasi, että MobilePayn verkkosivuilla neuvotaan, että kortin voi lisätä kohdistamalla puhelimen kameran kortin etupuoleen.

– Kamera skannaa kortin numeron, eikä sinun tarvitse syöttää kortin tietoja manuaalisesti, ohjeissa sanotaan.

Maksun saaja voi olla syytön

Luottokorttiyhtiö Netsistä Kurikalle kerrottiin maksun saajan nimi. Se on täysin suomalainen.

– Summan siirtäjää Nets ei tiennyt. Heillä näkyi vain MobilePay-siirto.

Maksun saaja ei välttämättä ole tehnyt mitään väärää. Voi esimerkiksi olla, että hän on myynyt vaikkapa Tori.fi:ssä tavaraa, joka on maksettu Kurikan tililtä.

MobilePaytä voivat käyttää vain Suomessa asuvat, joilla on suomalainen puhelinnumero. Heinonen korostaa, että sovelluksesta korttinumerot eivät voi päätyä vääriin käsiin.

– MobilePayssä on paljon turvaelementtejä. Väärinkäytökset ovat äärimmäisen vähäisiä ja pieniä.

Turvallisuus on Heinosen mukaan ensiarvoisen tärkeää.

– Seuraamme joka tapauksessa koko ajan, millaisia turvaelementtejä sovelluksessa tarvitaan. Tarvittaessa kehitämme ja lisäämme niitä.

Myöhemmin selvitettyään asiaa Heinonen kertoo, että MobilePay toteuttaa toiminnallisuuden, joka estää vastaavat väärinkäytökset vastaisuudessa.

Selvittely vaatii aikaa ja vaivaa

Kurikka miettii, onkohan hänen tililtään veloitettu jo aiemminkin outoja maksuja. Asian tarkistaminen mutkistui, kun hän kuoletti korttinsa. Tapahtumat katosivat saman tien hänen verkkopankistaan.

Kurikka on tehnyt rikosilmoituksen. Ongelman selvittäminen on vienyt häneltä paljon aikaa ja kortittomuus halvaannuttaa. Hän miettii, voitaisiinko tekniikan kehittämisessä laittaa johonkin rajat.

– Voisiko joku hetkeksi pysähtyä miettimään ennen kuin laittaa propellihatun päähänsä? Kurikka kysyy.