Szeretne azonnal értesülni a legfontosabb hírekről?
Az értesítések bekapcsolásához kattintson a "Kérem" gombra!
Az értesítés funkció az alábbi böngészőkben érhető el: Chrome 61+, Firefox 57+, Safari 10.1+
Köszönjük, hogy feliratkozott!
Hoppá!
Valami hiba történt a feliratkozás során, az oldal frissítése után kérjük próbálja meg újra a fejlécben található csengő ikonnal.
Már feliratkozott!
A böngészőjében az értesítés funkció le van tiltva!
Ha értesítéseket szeretne, kérjük engedélyezze a böngésző beállításai között, majd az oldal frissítése után kérjük próbálja meg újra a fejlécben található csengő ikonnal.
[{"available":true,"c_guid":"4b703197-5766-421a-80df-8b7e7e3dc7a6","c_author":"MTI","category":"elet","description":"A fővárosi állatkert vezetése szerint nem valószínű, hogy a félbemaradt beruházás egy-két éven belül befejeződik.","shortLead":"A fővárosi állatkert vezetése szerint nem valószínű, hogy a félbemaradt beruházás egy-két éven belül befejeződik.","id":"20250402_fovarosi-allatkert-biodom-allando-megnyitas","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/4b703197-5766-421a-80df-8b7e7e3dc7a6.jpg","index":0,"item":"1596ce96-f638-4d95-ae13-307b2f67db23","keywords":null,"link":"/elet/20250402_fovarosi-allatkert-biodom-allando-megnyitas","timestamp":"2025. április. 02. 14:40","title":"A tervezett 20 milliárd forint töredékéből, de még az idén teljesen megnyitják a Biodómot","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"1db0b774-7562-4fd0-8150-bc2091ff791d","c_author":"HVG","category":"vilag","description":"Cory Booker, New Jersey-i állam demokrata szenátora a kormányzat tevékenysége elleni tiltakozásként vállalkozott arra, hogy olyan hosszan beszél, ameddig csak bír.","shortLead":"Cory Booker, New Jersey-i állam demokrata szenátora a kormányzat tevékenysége elleni tiltakozásként vállalkozott arra...","id":"20250401_Tobb-mint-15-oras-felszolalasban-kritizalta-egy-szenator-az-amerikai-kongresszusban-Donald-Trump-kormanyzatat","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/1db0b774-7562-4fd0-8150-bc2091ff791d.jpg","index":0,"item":"d5622230-760a-49b6-b15b-e40dc6405ecf","keywords":null,"link":"/vilag/20250401_Tobb-mint-15-oras-felszolalasban-kritizalta-egy-szenator-az-amerikai-kongresszusban-Donald-Trump-kormanyzatat","timestamp":"2025. április. 01. 21:03","title":"Több mint 15 órás felszólalásban kritizálta egy szenátor az amerikai kongresszusban Donald Trump kormányzatát","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"fa522b3a-06a4-4333-80ce-c62d34989306","c_author":"HVG","category":"tudomany","description":"Úgy tűnik, nem minden esetben hatékony a mikrodózisú LSD-terápia, legalábbis erre enged következtetni a Bázeli Egyetem kutatóinak új tanulmánya.","shortLead":"Úgy tűnik, nem minden esetben hatékony a mikrodózisú LSD-terápia, legalábbis erre enged következtetni a Bázeli Egyetem...","id":"20250401_lsd-terapias-alkalmazasa-adhd","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/fa522b3a-06a4-4333-80ce-c62d34989306.jpg","index":0,"item":"fe03528a-b1cd-4842-9efb-867978f9b098","keywords":null,"link":"/tudomany/20250401_lsd-terapias-alkalmazasa-adhd","timestamp":"2025. április. 01. 13:03","title":"Megdőlni látszik egy tévhit az LSD-vel kapcsolatban","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"9166552f-8e2c-48f2-b806-f3b0e93231fb","c_author":"HVG","category":"360","description":"Sok megbeszélnivalója van Budapesten a magyar és az izraeli miniszterelnöknek a Der Standard munkatársa szerint. ","shortLead":"Sok megbeszélnivalója van Budapesten a magyar és az izraeli miniszterelnöknek a Der Standard munkatársa szerint. ","id":"20250401_Netanjahu-es-Orban-uj-vilagrendet-akar-egy-osztrak-lap-cikke-szerint","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/9166552f-8e2c-48f2-b806-f3b0e93231fb.jpg","index":0,"item":"9b4fdb92-2a64-49d8-b99b-47fe83e6246a","keywords":null,"link":"/360/20250401_Netanjahu-es-Orban-uj-vilagrendet-akar-egy-osztrak-lap-cikke-szerint","timestamp":"2025. április. 01. 12:55","title":"Netanjahu és Orbán új világrendet akar egy osztrák lap cikke szerint","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":true,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"c78ab71c-c305-48eb-8066-c8784e4d2401","c_author":"HVG","category":"tudomany","description":"Két olyan európai székhelyű cég egyesíti most a tudását, amelyek élenjárnak adatvédelmi törekvéseikben. Ennek keretében az amúgy is biztonságos Vivaldi böngésző megkapja a ProtonVPN-t, az egyik legjobbra értékelt virtuális magánhálózatot.","shortLead":"Két olyan európai székhelyű cég egyesíti most a tudását, amelyek élenjárnak adatvédelmi törekvéseikben. Ennek keretében...","id":"20250401_proton-vpn-vivaldi-bongeszo-virtualis-maganhalozata","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/c78ab71c-c305-48eb-8066-c8784e4d2401.jpg","index":0,"item":"27c028e5-3815-453c-afdd-e743fad3fb43","keywords":null,"link":"/tudomany/20250401_proton-vpn-vivaldi-bongeszo-virtualis-maganhalozata","timestamp":"2025. április. 01. 08:03","title":"A letiltott dolgokat is megnézheti a neten, önt viszont nem látják mások – új funkció kerül a böngészőbe","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"a60d364a-8210-469e-bf9a-6c0f2cbc46b8","c_author":"HVG Állásbörze","category":"kkv","description":"Már csak egy hét, és április 9-én elindul a HVG Állásbörze. A legnagyobb karrierfórum nemcsak a munkatapasztalattal rendelkezőket várja, hanem azokat is, akik még tanulnak, vagy a közeljövőben lépnek ki az álláspiacra. Összegyűjtöttük, hogyan juthatnak közelebb első szakmai gyakorlatukhoz, vagy akár állandó munkahelyükhöz az állásbörzén.","shortLead":"Már csak egy hét, és április 9-én elindul a HVG Állásbörze. A legnagyobb karrierfórum nemcsak a munkatapasztalattal...","id":"20250401_hvg-allasborze-2025-diakoknak","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/a60d364a-8210-469e-bf9a-6c0f2cbc46b8.jpg","index":0,"item":"f12fcd75-c82b-42de-8329-6e3d467e4018","keywords":null,"link":"/kkv/20250401_hvg-allasborze-2025-diakoknak","timestamp":"2025. április. 01. 16:10","title":"Ezt adja a diákoknak a legnagyobb állásbörze","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"8f58fe73-d0f0-45a3-b04e-1b0c7845c85d","c_author":"HVG","category":"tudomany","description":"A magyar nyelv ismerete nélkül rajtolt el az Apple Intelligence hazánkban is. Ha valaki szeretné használni, kénytelen néhány beállítást is megváltoztatni a készülékén.","shortLead":"A magyar nyelv ismerete nélkül rajtolt el az Apple Intelligence hazánkban is. Ha valaki szeretné használni, kénytelen...","id":"20250401_apple-intelligence-eu-megjelenes-frissites-ios-18","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/8f58fe73-d0f0-45a3-b04e-1b0c7845c85d.jpg","index":0,"item":"3c4b6d39-ba73-4051-b781-62889d45621e","keywords":null,"link":"/tudomany/20250401_apple-intelligence-eu-megjelenes-frissites-ios-18","timestamp":"2025. április. 01. 10:03","title":"Magyarországra is megérkezett az Apple mesterséges intelligenciája, de van egy súlyos hiányossága","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"bcf616d1-354e-436d-95f9-92030f46c0ee","c_author":"HVG","category":"tudomany","description":"Akkora az érdeklődés a ChatGPT újdonságai iránt, hogy alig tud lépést tartani vele az OpenAI. A cég vezetője szerint ez késleltetheti egyes újdonságok megjelenését, és a meglévők működésére is hatással lehet.","shortLead":"Akkora az érdeklődés a ChatGPT újdonságai iránt, hogy alig tud lépést tartani vele az OpenAI. A cég vezetője szerint...","id":"20250402_openai-sam-altman-chatgpt-kepgenerator-kapacitasproblemak-gpu","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/bcf616d1-354e-436d-95f9-92030f46c0ee.jpg","index":0,"item":"2fd7565d-001e-4fcc-b4ff-3a99019eb4be","keywords":null,"link":"/tudomany/20250402_openai-sam-altman-chatgpt-kepgenerator-kapacitasproblemak-gpu","timestamp":"2025. április. 02. 14:03","title":"Komoly gondokkal küzd az OpenAI, megszólalt Sam Altman","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null}]
A MÁV-Start szerint érvénytelen az a vonatjegy, amit az online jegyértékesítő rendszerben – néhány okos gombnyomással – fizetés nélkül generálhat magának bárki. A kalauzok kezében lévő gépi revizor ugyanis jelzi, hogy ott valami nem stimmel. Bár ilyesmi hiba rendszerben hagyása nem elegáns, de tényleg nem megbocsáthatatlan bűn. Az viszont már komolyabb problémának tűnik, hogy a rendszer tömeges adatlopásra is lehetőséget ad.
Ember legyen a talpán, aki segíteni tud a Magyar Államvasutaknak. Mi tucatszor próbálkoztunk ezzel pénteken: azért hívtuk a MÁV sajtóügyeletének és informatikai szolgáltató részlegének telefonszámait, hogy tájékoztassuk őket egy kritikus hibáról. Hiába, az ügyeletes nem vette fel, a MÁV Szolgáltatóközpont Zrt. informatikai részlegén pedig a jó öreg felveszem-leteszem módszerrel adták tudtunkra, hogy nem érdekli őket, mit akar a telefonáló. Pedig érdekes hírrel szolgáltunk volna. Pénteken ugyanis egy olvasó eljuttatott hozzánk egy videót, ami bemutatja, hogyan lehet pofonegyszerű módon átverni a MÁV-Start internetes jegyértékesítő rendszerét, és egyetlen jegy kifizetése után lényegében korlátlanul használható “bérletet” kreálni magunknak.
Olvasónk videós használati utasítása szerint előbb valódi pénzzel, valódi e-vonatjegyet kell vásárolnunk, mégpedig arra a viszonylatra, melyen később is utazni tervezünk. A fizetési folyamat közben minimális számítástechnikai ismerettel kinyerhető a felületről háromféle azonosító: az egyik magát a belépett felhasználót azonosítja, a másik szám az adott tranzakciót jelöli, a harmadikból generálódnak a jegy adatai (érvényesség, viszonylat satöbbi).
MTI / Máthé Zoltán
A pontos módszertant itt és most nem tárjuk ország-világ elé, de a lényege az, hogy a három azonosítóval zsonglőrködve egy ugyanolyan viszonylatra, de másik napra szóló vonatjegyet “adhat ki magának” az, aki szemfüles – a következő vásárlás utolsó előtti lépésében, pont mielőtt fizetne a rendeléséért. Aki máshogy zsonglőrködik, az pedig ugyanígy letöltheti más utazók valódi és általuk valóban kifizetett vonatjegyét magának.
Hogy a hiba mióta van a MÁV-Start eTicker rendszerében, azt nem tudni. Olvasónk állítja, idén februárban már találkozott vele, sőt február 17-én jelentette is azt a MÁV-nak. Választ nem kapott, így egy héttel később ismét jelzett. De válasz azóta sem érkezett – a rést pedig még mindig tárva-nyitva van a webes e-vonatjegyes felületen. Pedig azóta már – vélhetően nem is egyszer – frissítettek a szoftveren, a weboldal forráskódjából ugyanis kiderül, hogy jelenleg a v1.09.90 számú build (verzió) éles, melynél 2019.06.27 04:30 időbélyegző szerepel.
Ingyenjegy örök életre? Nem ez a gond
Az biztos, hogy az online jegyértékesítési felület biztonsági rendszere nem az igazi: valóban engedi úgy e-vonatjegy generálását (.pdf fájlba történő kinyomtatását), hogy előtte nem “kérdez vissza” az adatbázisnál, fizetve van-e a tétel. Ez a jelenség valóban fennáll és kijelenthetjük: hiba. Sőt, a trükkös módszerrel generált jegyvásárlás ténye a személyes fiók “Korábbi vásárlások” pontjába is megjelenik, tehát a jegyrendszer egy része egészen biztosan úgy véli, hogy valóban megvásároltunk valamit.
MÁV
Fontos ugyanakkor, hogy ez nem jelenti azt, hogy a hibát kihasználva valóban korlátlan számú utazásra jogosíthatja magát az ember. Ugyanis önmagában az kevés, ha valaki egy ránézésre aznap és azon a viszonylaton érvényes jegyet lobogtat kinyomtatva vagy telefonja képernyőjén. A jegyvizsgálók ugyanis nem szemrevételezéssel ellenőrzik a jegyet, hanem a QR-kód leolvasásával. A jegyár beérkezésének hiányában a kalauzoknak érvénytelen menetjegyet mutat vagy más hibaüzenetet dob a kézi konzol – az Indexnek még a péntek délutáni szieszta előtt sikerült elérnie a MÁV-ot, és akkor ezt válaszolták.
Akinek adat kell, az szán rá időt
Az viszont mindenképpen nagy gond, hogy egyetlen webcím és néhány azonosító variálásával úgy lehet zsonglőrködni, hogy ha akarunk, más emberek vasúti menetjegyeihez is hozzáférhetünk. Ezek teljesen szabályosan megvásárolt és kifizetett jegyek, tehát ezeket garantáltan elfogadja a jegyvizsgáló. Aki ha slendrián, és nem kéri valamilyen igazolvány felmutatását a jegy mellé – ahogy ilyen a cikk szerzőjével rendszeresen történik –, nem fog rájönni, hogy a menetjegy más nevére szól. Így aztán nem egyszerű módon, de megfelelő számú próbálkozással bárki “ellophatja” más jegyét, melyet némi szerencsével ténylegesen felhasználhat ingyenes utazásokra.
Forrásunk rámutatott, természetesen nem az a veszély áll fenn, hogy valaki kézzel elkezdi sorra begépelgetni a különféle azonosítókat. Ám némi programozói tudással egy nagyon egyszerű, "10 soros" szkriptet (programkódot) kell csak megírni, ami szépen sorban próbálgatja a számokat. Amikor megfelelő kombinációt talál, akkor azt kimenti – megfelelő számítási teljesítmény esetén néhány óra, vagy legfeljebb néhány nap alatt alighanem az összes olyan ember néhány adatához hozzá lehet jutni, aki valaha e-vonatjegyet vásárolt.
MTI / MTVA / Jászai Csaba
Ezt az teszi lehetővé – hívta fel a figyelmet forrásunk –, hogy a MÁV rendszere nem ellenőrzi, hogy az adott webcímet lekérő felhasználó van-e bejelentkezve – ha valaki be van jelentkezve, az kontrollálatlanul mindenki más jegyéhez is hozzáfér. Teszteltük, működik: forrásunk saját fiókjával volt bejelentkezve, és minden további nélkül elérte és letöltötte az általunk saját fiókunkkal valóban megvásárolt, kifizetett jegyet.
Az illetéktelen próbálkozó így megtudhatja mások nevével kombinált születési idejét és kedvezményre való jogosultságát is, ez utóbbiból pedig már az illető egészségügyi állapotára (pl. fogyatékosságára) is következtethet. Ezek pedig már lehetőséget adnak a személyes adattal történő visszaélések elkövetésére, például egy név és egy születési dátum birtokában már lehetőség van social engineeringre, azaz pszichológiai manipulációra, mellyel aztán más információkat csalunk ki tőlük – például a közösségi médiában, telefonon vagy e-mailben. Forrásunk szerint akinek adat kell, annak van ideje arra, hogy megszerezze.
A profi megfigyelést végző rosszindulatú hackerek vagy szolgálatok pedig azt is könnyen kibányászhatják így, hogy ki, mikor, merre utazott. Aki pedig elég időt szán rá, az az összes adatot kinyerve a dark weben is árulhatja az adatbázist.
De ha nem is csinál ezekkel az adatokkal senki semmit, akkor is ütközik a GDPR uniós adatvédelmi irányelvben foglaltakkal, hogy ilyen egyszerűen ki lehet nyerni az összes említett információt.
Olvasónk február tizenhetedikei bejelentéseiben éppen ez utóbbi, adatvédelmi gondokra hivatkozva hangsúlyozottan kérte a MÁV-tól, hogy tájékoztassák a nyilvánosságot, és a hiba elhárításáig függesszék fel az online jegyértékesítési rendszer működését. Ezek közül egyik lépésre sem került sor. Ma július ötödike van.