Múlt pénteken megjelent cikkünkben világítottunk rá arra, hogy hanyagnak tűnő programozás miatt bárki bármilyen jegyet generálhat a MÁV online jegyvásárlós rendszerében. Bár az így generált menetjegyről utazás közben gyorsan kideríti a kalauz, hogy érvénytelen, az aggasztó, hogy némi programozási ismeret birtokában tömeges adatlopásra ad lehetőséget a rendszer.

Cikkünk alapját egy olyan olvasói jelzés adta, amely bemutatta, hogyan férhet hozzá bárki saját felhasználói fiókjából más jegyeihez is. Olvasónk állítása szerint a hibát már februárban jelezte a MÁV-nak, két e-mail címen is. Eljuttatta szerkesztőségünkbe az erről szóló képernyőképeket is, melyekből látszik, hogy az e-maileket a titkosított üzenetküldést lehetővé tévő ProtonMail szolgáltatásból küldte, önmegsemmisítő formában.

A MÁV szerint ezek a levelek soha nem futottak be hozzájuk. A vasúttársaság sajtósa szerint legyen akármilyen önmegsemmisítő egy üzenet, az náluk már beérkezéskor egy feladatjegyet generál az ügyfélkapcsolati rendszerben – ilyen pedig nem létezik.

Amikor felvetettük, hogy milyen indítéka lehetne bárkinek, hogy ilyen e-mailek képernyőképeit hamisítsa össze, a MÁV sajtósa is elismerte, hogy ez valóban nem hangzik túl életszerűen, de a vállalathoz akkor sem érkezett a vonatkozó informatikai hibát jelző e-mail. Ha lett volna, foglalkoztak volna vele.

A MÁV-sajtóval folytatott beszélgetéseink alapján úgy tűnik, pénteki cikkünk megjelenése után nem sokkal már látták, hogy léteznek hibák a rendszerben, és ezekkel foglalkoztak is. Ezzel kapcsolatos hivatalos választ cikkünk megjelenése utánra ígértek.

Ha érdeklik a fejlemények, lájkolja a HVG Tech rovatának Facebook-oldalát.