|
Átverhető az üvegvisszaváltó rendszer, komoly hibát fedeztek fel
Egy IT-biztonsággal foglalkozó cég, a Mantra Information Security, komoly biztonsági rést talált az üvegvisszaváltó automaták rendszerében. A felfedezésük szerint a palackvisszaváltó automaták által generált kódok megfejthetőek, és megfelelő tudással bárki képes lehet otthon is vonalkódokat készíteni, mégpedig tetszőleges értékekkel. A szakértők arra figyeltek fel, hogy a rendszer hibája lehetőséget adhat a csalásra hamis utalványokkal. A hibás rendszer és annak következményei A hiba főként a hosszú vonalkódokban rejlik, amelyek az utalványok értékét tartalmazzák. A Mantra szakemberei rájöttek, hogy ha egyes számjegyeket módosítanak a kódban, akár a visszaváltható összeg is manipulálható. Az automaták által generált vonalkódok és azokkal társított információk könnyedén megváltoztathatók, ha valaki birtokában van a megfelelő tudásnak. A hibát a Mantra Information Security találta meg A Mantra Information Security figyelmeztette a rendszer üzemeltetőit, és javaslatokat tett arra, hogy miként lehetne biztonságosabbá tenni a rendszert. A cég az infrastruktúráért felelős vállalattal is kapcsolatba lépett, és bár a hibát elismerték, már dolgoznak a biztonsági probléma megoldásán. Hogyan működik az üvegvisszaváltó rendszer? A nyáron bevezetett rendszer célja, hogy a különböző italcsomagolásokat visszaváltsák és újrahasznosítsák. Az egy decilitertől három literig terjedő műanyag, üveg és fém italcsomagolások váltak visszaválthatóvá, amelyekért ötven forintot kapnak a visszaváltók. Ez az összeg az italok árában megjelenik, így mindenki, aki visszaviszi az üres csomagolásokat, ezt az összeget visszakapja. A rendszer lehetőséget ad arra, hogy a visszaváltás után bankszámlára való utalás, adományozás, vagy bón formájában kapják vissza az emberek a pénzüket. A bón levásárolható a boltokban vagy készpénzre váltható. A visszaélés lehetőségei A Mantra Information Security szakértői arra figyeltek fel, hogy az utalványok vonalkódjaiban kódolt összeg az egyik legnagyobb sérülékenység. A vonalkód 26 számból áll, és az utolsó két számjegy felelős az utalvány értékének meghatározásáért. A kód egyéb részeiben olyan azonosítók is szerepelnek, mint az üzlet egyedi kódja, vagy egy időbélyeg, de az utalvány értékét befolyásoló számjegyek könnyen manipulálhatók. Az IT-biztonsági cég egy Python-szkriptet alkotott, amely segítségével generálhatók az ilyen kódok, és így akár csalásra is sor kerülhet. Mi történt eddig? A hiba felfedezése után a Mantra szakemberei felvették a kapcsolatot az üzemeltető céggel, akik elismerték a problémát, és dolgoznak a hiba kijavításán. Mivel a rendszer közvetlenül befolyásolja a pénzmozgást és a vásárlói tranzakciókat, a gyors intézkedés elengedhetetlen a további csalások elkerülése érdekében. Mi vár ránk a jövőben? A felfedezett hiba kapcsán a szakértők javasolják, hogy a rendszert biztonságosabbá tegyék. A legfontosabb lépés, hogy az utalványok kódolásának módját módosítsák, így a jövőben elkerülhetővé válik a csalások elkövetése. Az üzemeltetők már dolgoznak a megoldáson, de az új rendszer bevezetése előtt szükséges a jelenlegi rendszer alapos átvizsgálása és javítása. Összegzésül A Mantra Information Security által felfedezett hiba komoly biztonsági kockázatot jelent a visszaváltó automaták rendszerében. Bár a probléma már ismert, és az üzemeltetők dolgoznak a megoldáson, fontos, hogy az érintett rendszereket folyamatosan teszteljék és frissítsék, hogy megelőzhetőek legyenek a jövőbeli csalások. A hibát gyorsan orvosolni kell, hogy ne történjenek olyan visszaélések, amelyek a vásárlók vagy a szolgáltatók pénzügyi érdekeit sértik. |
|
|
|
|
|
|
|
|
|
|
|
|
|