Átverhető az üvegvisszaváltó rendszer, komoly hibát fedeztek fel
Egy IT-biztonsággal foglalkozó cég, a Mantra Information Security, komoly biztonsági rést talált az üvegvisszaváltó automaták rendszerében. A felfedezésük szerint a palackvisszaváltó automaták által generált kódok megfejthetőek, és megfelelő tudással bárki képes lehet otthon is vonalkódokat készíteni, mégpedig tetszőleges értékekkel. A szakértők arra figyeltek fel, hogy a rendszer hibája lehetőséget adhat a csalásra hamis utalványokkal.
A hibás rendszer és annak következményei
A hiba főként a hosszú vonalkódokban rejlik, amelyek az utalványok értékét tartalmazzák. A Mantra szakemberei rájöttek, hogy ha egyes számjegyeket módosítanak a kódban, akár a visszaváltható összeg is manipulálható. Az automaták által generált vonalkódok és azokkal társított információk könnyedén megváltoztathatók, ha valaki birtokában van a megfelelő tudásnak.
A hibát a Mantra Information Security találta meg
A Mantra Information Security figyelmeztette a rendszer üzemeltetőit, és javaslatokat tett arra, hogy miként lehetne biztonságosabbá tenni a rendszert. A cég az infrastruktúráért felelős vállalattal is kapcsolatba lépett, és bár a hibát elismerték, már dolgoznak a biztonsági probléma megoldásán.
Hogyan működik az üvegvisszaváltó rendszer?
A nyáron bevezetett rendszer célja, hogy a különböző italcsomagolásokat visszaváltsák és újrahasznosítsák. Az egy decilitertől három literig terjedő műanyag, üveg és fém italcsomagolások váltak visszaválthatóvá, amelyekért ötven forintot kapnak a visszaváltók. Ez az összeg az italok árában megjelenik, így mindenki, aki visszaviszi az üres csomagolásokat, ezt az összeget visszakapja.
A rendszer lehetőséget ad arra, hogy a visszaváltás után bankszámlára való utalás, adományozás, vagy bón formájában kapják vissza az emberek a pénzüket. A bón levásárolható a boltokban vagy készpénzre váltható.
A visszaélés lehetőségei
A Mantra Information Security szakértői arra figyeltek fel, hogy az utalványok vonalkódjaiban kódolt összeg az egyik legnagyobb sérülékenység. A vonalkód 26 számból áll, és az utolsó két számjegy felelős az utalvány értékének meghatározásáért. A kód egyéb részeiben olyan azonosítók is szerepelnek, mint az üzlet egyedi kódja, vagy egy időbélyeg, de az utalvány értékét befolyásoló számjegyek könnyen manipulálhatók. Az IT-biztonsági cég egy Python-szkriptet alkotott, amely segítségével generálhatók az ilyen kódok, és így akár csalásra is sor kerülhet.
Mi történt eddig?
A hiba felfedezése után a Mantra szakemberei felvették a kapcsolatot az üzemeltető céggel, akik elismerték a problémát, és dolgoznak a hiba kijavításán. Mivel a rendszer közvetlenül befolyásolja a pénzmozgást és a vásárlói tranzakciókat, a gyors intézkedés elengedhetetlen a további csalások elkerülése érdekében.
Mi vár ránk a jövőben?
A felfedezett hiba kapcsán a szakértők javasolják, hogy a rendszert biztonságosabbá tegyék. A legfontosabb lépés, hogy az utalványok kódolásának módját módosítsák, így a jövőben elkerülhetővé válik a csalások elkövetése. Az üzemeltetők már dolgoznak a megoldáson, de az új rendszer bevezetése előtt szükséges a jelenlegi rendszer alapos átvizsgálása és javítása.
Összegzésül
A Mantra Information Security által felfedezett hiba komoly biztonsági kockázatot jelent a visszaváltó automaták rendszerében. Bár a probléma már ismert, és az üzemeltetők dolgoznak a megoldáson, fontos, hogy az érintett rendszereket folyamatosan teszteljék és frissítsék, hogy megelőzhetőek legyenek a jövőbeli csalások. A hibát gyorsan orvosolni kell, hogy ne történjenek olyan visszaélések, amelyek a vásárlók vagy a szolgáltatók pénzügyi érdekeit sértik. |
