Ember legyen a talpán, aki segíteni tud a Magyar Államvasutaknak. Mi tucatszor próbálkoztunk ezzel pénteken: azért hívtuk a MÁV sajtóügyeletének és informatikai szolgáltató részlegének telefonszámait, hogy tájékoztassuk őket egy kritikus hibáról. Hiába, az ügyeletes nem vette fel, a MÁV Szolgáltatóközpont Zrt. informatikai részlegén pedig a jó öreg felveszem-leteszem módszerrel adták tudtunkra, hogy nem érdekli őket, mit akar a telefonáló. Pedig érdekes hírrel szolgáltunk volna. Pénteken ugyanis egy olvasó eljuttatott hozzánk egy videót, ami bemutatja, hogyan lehet pofonegyszerű módon átverni a MÁV-Start internetes jegyértékesítő rendszerét, és egyetlen jegy kifizetése után lényegében korlátlanul használható “bérletet” kreálni magunknak.

Olvasónk videós használati utasítása szerint előbb valódi pénzzel, valódi e-vonatjegyet kell vásárolnunk, mégpedig arra a viszonylatra, melyen később is utazni tervezünk. A fizetési folyamat közben minimális számítástechnikai ismerettel kinyerhető a felületről háromféle azonosító: az egyik magát a belépett felhasználót azonosítja, a másik szám az adott tranzakciót jelöli, a harmadikból generálódnak a jegy adatai (érvényesség, viszonylat satöbbi).

MTI / Máthé Zoltán

A pontos módszertant itt és most nem tárjuk ország-világ elé, de a lényege az, hogy a három azonosítóval zsonglőrködve egy ugyanolyan viszonylatra, de másik napra szóló vonatjegyet “adhat ki magának” az, aki szemfüles – a következő vásárlás utolsó előtti lépésében, pont mielőtt fizetne a rendeléséért. Aki máshogy zsonglőrködik, az pedig ugyanígy letöltheti más utazók valódi és általuk valóban kifizetett vonatjegyét magának.

Hogy a hiba mióta van a MÁV-Start eTicker rendszerében, azt nem tudni. Olvasónk állítja, idén februárban már találkozott vele, sőt február 17-én jelentette is azt a MÁV-nak. Választ nem kapott, így egy héttel később ismét jelzett. De válasz azóta sem érkezett – a rést pedig még mindig tárva-nyitva van a webes e-vonatjegyes felületen. Pedig azóta már – vélhetően nem is egyszer – frissítettek a szoftveren, a weboldal forráskódjából ugyanis kiderül, hogy jelenleg a v1.09.90 számú build (verzió) éles, melynél 2019.06.27 04:30 időbélyegző szerepel.

Ingyenjegy örök életre? Nem ez a gond

Az biztos, hogy az online jegyértékesítési felület biztonsági rendszere nem az igazi: valóban engedi úgy e-vonatjegy generálását (.pdf fájlba történő kinyomtatását), hogy előtte nem “kérdez vissza” az adatbázisnál, fizetve van-e a tétel. Ez a jelenség valóban fennáll és kijelenthetjük: hiba. Sőt, a trükkös módszerrel generált jegyvásárlás ténye a személyes fiók “Korábbi vásárlások” pontjába is megjelenik, tehát a jegyrendszer egy része egészen biztosan úgy véli, hogy valóban megvásároltunk valamit.

MÁV

Fontos ugyanakkor, hogy ez nem jelenti azt, hogy a hibát kihasználva valóban korlátlan számú utazásra jogosíthatja magát az ember. Ugyanis önmagában az kevés, ha valaki egy ránézésre aznap és azon a viszonylaton érvényes jegyet lobogtat kinyomtatva vagy telefonja képernyőjén. A jegyvizsgálók ugyanis nem szemrevételezéssel ellenőrzik a jegyet, hanem a QR-kód leolvasásával. A jegyár beérkezésének hiányában a kalauzoknak érvénytelen menetjegyet mutat vagy más hibaüzenetet dob a kézi konzol – az Indexnek még a péntek délutáni szieszta előtt sikerült elérnie a MÁV-ot, és akkor ezt válaszolták.

Akinek adat kell, az szán rá időt

Az viszont mindenképpen nagy gond, hogy egyetlen webcím és néhány azonosító variálásával úgy lehet zsonglőrködni, hogy ha akarunk, más emberek vasúti menetjegyeihez is hozzáférhetünk. Ezek teljesen szabályosan megvásárolt és kifizetett jegyek, tehát ezeket garantáltan elfogadja a jegyvizsgáló. Aki ha slendrián, és nem kéri valamilyen igazolvány felmutatását a jegy mellé – ahogy ilyen a cikk szerzőjével rendszeresen történik –, nem fog rájönni, hogy a menetjegy más nevére szól. Így aztán nem egyszerű módon, de megfelelő számú próbálkozással bárki “ellophatja” más jegyét, melyet némi szerencsével ténylegesen felhasználhat ingyenes utazásokra.

Forrásunk rámutatott, természetesen nem az a veszély áll fenn, hogy valaki kézzel elkezdi sorra begépelgetni a különféle azonosítókat. Ám némi programozói tudással egy nagyon egyszerű, "10 soros" szkriptet (programkódot) kell csak megírni, ami szépen sorban próbálgatja a számokat. Amikor megfelelő kombinációt talál, akkor azt kimenti – megfelelő számítási teljesítmény esetén néhány óra, vagy legfeljebb néhány nap alatt alighanem az összes olyan ember néhány adatához hozzá lehet jutni, aki valaha e-vonatjegyet vásárolt.

MTI / MTVA / Jászai Csaba

Ezt az teszi lehetővé – hívta fel a figyelmet forrásunk –, hogy a MÁV rendszere nem ellenőrzi, hogy az adott webcímet lekérő felhasználó van-e bejelentkezve – ha valaki be van jelentkezve, az kontrollálatlanul mindenki más jegyéhez is hozzáfér. Teszteltük, működik: forrásunk saját fiókjával volt bejelentkezve, és minden további nélkül elérte és letöltötte az általunk saját fiókunkkal valóban megvásárolt, kifizetett jegyet.

Az illetéktelen próbálkozó így megtudhatja mások nevével kombinált születési idejét és kedvezményre való jogosultságát is, ez utóbbiból pedig már az illető egészségügyi állapotára (pl. fogyatékosságára) is következtethet. Ezek pedig már lehetőséget adnak a személyes adattal történő visszaélések elkövetésére, például egy név és egy születési dátum birtokában már lehetőség van social engineeringre, azaz pszichológiai manipulációra, mellyel aztán más információkat csalunk ki tőlük – például a közösségi médiában, telefonon vagy e-mailben. Forrásunk szerint akinek adat kell, annak van ideje arra, hogy megszerezze.

A profi megfigyelést végző rosszindulatú hackerek vagy szolgálatok pedig azt is könnyen kibányászhatják így, hogy ki, mikor, merre utazott. Aki pedig elég időt szán rá, az az összes adatot kinyerve a dark weben is árulhatja az adatbázist.

De ha nem is csinál ezekkel az adatokkal senki semmit, akkor is ütközik a GDPR uniós adatvédelmi irányelvben foglaltakkal, hogy ilyen egyszerűen ki lehet nyerni az összes említett információt.

Olvasónk február tizenhetedikei bejelentéseiben éppen ez utóbbi, adatvédelmi gondokra hivatkozva hangsúlyozottan kérte a MÁV-tól, hogy tájékoztassák a nyilvánosságot, és a hiba elhárításáig függesszék fel az online jegyértékesítési rendszer működését. Ezek közül egyik lépésre sem került sor. Ma július ötödike van.

Ha kíváncsi a fejleményekre, lájkolja a HVG Tech rovatának Facebook-oldalát.