** Lai nodrošinātu RD saistošo noteikumu par Rīgas pilsētas sabiedriskā transporta lietošanu ievērošanu, testa laikā veiktie braucieni apmaksāti, izmantojot atsevišķu biļeti.
Ievainojamībā tiek izmantota kartes simulācija, lai sazinātos ar transporta līdzeklī izvietoto E-talona termināli. E-talona terminālis šajā simulētajā kartē ieraksta visus nepieciešamos datus, kas apliecina biļetes kompostrēšanas faktu. Gadījumā, ja sabiedriskajā transportā kāpj kontrole, datus no kartes simulācijas ir iespējams ierakstīt īstajā E-talonā, ko sabiedriskā transporta kontrole pieņemtu, kā derīgu. Ja kontrole neiekāpj, tad kartes simulāciju var atgriezt atpakaļ jebkurā iepriekšējā stāvoklī kopš pēdējās kontroles iekāpšanas reizes. Šajā gadījumā pasažieris samaksātu tikai par braucieniem, kuros biļetes pārbauda sabiedriskā transporta kontrole.
Alternatīvi kartes simulāciju iespējams nomaskēt ar citu e-talonu vai e-talona maciņu. Tādā gadījumā kontrolei iespējams uzrādīt kartes simulāciju. Rakstam pievienotajā video redzams, kā ar viedtālruņa un Mifare Ultralight kartes simulācijas palīdzību iespējams veikt braucienu reģistrāciju un "attīšanu". Video redzamie e-talona dati tikuši "iztērēti" vairākas dienas pirms video uzņemšanas, tātad var pasludināt ka e-talonu melnais saraksts jeb blacklist ir mīts.
Kā problēmas pagaidu risinājumu ieteicām ieviest globālu sistēmas līmeņa datubāzi ar pārdoto biļešu kompostrēšanas datiem, kas tiktu sinhronizēti starp visiem transporta līdzekļiem vismaz reizi dienā. Ilgtermiņā gan drošāk būtu atteikties no Mifare Ultralight karšu izmantošanas, dodot priekšroku tehnoloģiski drošākām kartēm, kas apgrūtina to satura dublēšanu.
Par atklāto problēmu CERT.LV tika informēts 22. jūlijā, dodot E-talona sistēmas turētājiem laiku, lai ieviestu labojumus sistēmā. Pēc mums pieejamās informācijas, šī raksta publicēšanas dienā E-talona sistēma joprojām ir pakļauta aprakstītajai drošības problēmai. Atbildīgas atklāšanas process paredz, ka pēc tam, kad sistēmas izstrādātājs vai turētājs ir informēts par ievainojamību, un viņam ir dots laiks veikt nepieciešamās darbības, lai novērstu apdraudējumu, ievainojamība tiek atklāta sabiedrībai. Tādā veidā izstrādātājs tiek motivēts neignorēt un nenoklusēt ievainojamības esamību, neatkarīgi no tā, vai novēršana notiek pirms vai pēc ievainojamības atklāšanas sabiedrībai. Ievainojamības novēršana vai salāpīšana, protams, nodrošina, ka to nevar turpināt pielietot ļaundari, kas par to jau ilgstoši zinājuši un izmantojuši to savā labā.
Attiecībā uz atbildīgas atklāšanas procesu starptautiski pieņemts, ka samērīgs laiks ievainojamības novēršanai ir 60 dienas.
