Az IT-biztonságra szakosodott Mantra Information Security alapítója, Bucsay Balázs a közelmúltban az európai kötelező visszaváltási rendszerrel kapcsolatban egy komoly problémára hívta fel a figyelmet – írja a Portfolio a Hwsw.hu-ra hivatkozva.
A Bucsay által vázolt hiba elméletben komoly anyagi haszonszerzésre adna lehetőséget azoknak, akik kihasználnák. A szakértők a konkrét svindlit nem követtek el, hanem jogkövetően hívták fel üzemeltetőinek figyelmét a problémára. Illetve javaslatot is tettek, miként lehetne biztonságosabbá tenni a vonalkód alapú újrahasznosítást.
A Mantra szakembereinek ugyanis feltűnt, hogy a vonalkód alatt található számsor egy része az utalvány értékére utal, a megváltoztatása pedig lehetséges jogsértésekre adhat lehetőséget, ha egy bizonyos metódus mentén haladnak az elkövetők.
Több minta összegyűjtése után mérték fel, hogy az utalvány 36 számból álló kódja egyebek mellett tartalmazza az összeget és az ellenőrző számjegyet, illetve az adott üzlet kódját, és egy egyszerűsített időbélyeget.
Az ellenőrző számjegy elvileg egy hibaellenőrző kód, amely a pénztáraknál hivatott a számsorozat érvényességét megerősíteni. Ezen alapulnak a hitelkártyák is
Utóbbiak lényege a Luhn-algoritmus, amely lehetővé teszi a kártyaszám utolsó számjegyének kiszámítását az előzőek alapján, ezzel is lehetővé téve a hibák észlelését a tévesen beírt számjegyek esetében, mielőtt egy tranzakció során a végrehajtást megkísérelnék.
A palackautomaták ugyanakkor nem a Luhn-féle algoritmust használják, hanem egy hasonló megoldást. Ha ezt egy elkövető képes lenne visszafejteni, elvileg érvényes kódokat hozhatna létre egyedi, akár magasabb összeggel is.
Bucsay Balázs szerint nekik sikerült feltörni a hibaellenőrző kódot, így egy programmal, és az utalvány bármely kódjának megadásával (az ellenőrző számtól eltekintve) kiszámíthatóvá válhat a helyes ellenőrző számjegy.
Ha pedig valaki végig vinné az eljárást, és módosítaná a kódban szereplő összeget, beváltásra megfelelő utalványt tudna generálni. Ráadásul a vonalkód csíkjának előállítása nem okoz különösebb nehézséget.
A sérülékenységet az jelenti lényegében, hogy az utalvány értéke direkt módon a vonalkódba van rejtve, és nem védi semmilyen biztonsági lehetőség az offline támadások megelőzése céljából.
A megoldásnak az látszana, ha az üzletek a tikett bemutatásakor, a központi adatbázis online kontrolljával hitelesítenék jogosságát, így csak a valós utalványok kerülhetnének elfogadásra.
A Mantra Information Security hangsúlyozta, hogy az általuk felfedezett, visszaélésre okot adó lehetőséget semmilyen módon nem teszik nyilvánossá, és gyakorlatban sem hajtottak végre semmi olyat, amely során visszaélést követtek volna el.
Bucsay elmondta, hogy a palackvisszaváltás mögöttes infrastruktúrájáért felelős vállalkozással már érintkezésbe léptek. A cég elismerte a hiba létezését, és dolgoznak a probléma megoldásán.
Iratkozz fel a hírlevelünkre, hogy ne maradj le a legérdekesebb cikkekről!
Ajánljuk még:
Áram és földgáz: az MVM lakossági ügyfelei egy éve várnak...
Szép csendben bevezetik az eurót Magyarországon
Eldőlt: januártól havi 10 ezer forinttal többet tesznek rengeteg...
Az Év Szaloncukra 2024: megvan a győztes, indulhat a roham a...
Terjed a 10 másodperces csalás, veszélyben a Gmail felhasználói
