Múlt pénteki cikkünkben még azon dohogtunk, hogy a hét utolsó munkanapjának délutánján lehetetlenség elérni a MÁV bizonyos részlegeit, szombaton nagyot fordult a világ. A vasút kommunikációs képviselője keresett minket, élénken érdeklődött, hogyan tudná elérni azt az olvasót, aki eljuttatta hozzánk – és vélhetően más hazai hírszájtokhoz is – azt a videót, ami bemutatja, milyen problémás pontok fedezhetők fel a MÁV internetes jegyvásárlós rendszerében.

A MÁV sajtóképviselője kedd délelőttig tagadta, hogy hibás lenne a rendszer, majd kedd délután már arról beszélt, hogy "történtek javítások", de "nem azzal kapcsolatban", amiről írtunk. A MÁV-val telefonon egyeztetve csütörtökön lehoztuk a vállalat álláspontját arról, hogy szerintük nem létezik az az e-mail, amelyben az olvasó februárban jelezte a problémát a vasúttársaságnak. Csütörtök délután ezzel kapcsolatban közleményt adott ki a vasút, amely elején az alábbiak szerint foglalják össze álláspontjukat:

Múlt hét pénteken a hvg.hu oldalon hamis információk jelentek meg, melyek szerint a MÁV-START online rendszerén keresztül lehetőség van "ingyen menetjegy vásárlásra", illetve a felhasználók adatai veszélyben vannak. A hvg.hu manipulált dokumentumra hivatkozott, félrevezető állításaival ellentétben nem érkezett korábban bejelentés a vélt hibáról a vasúttársaság felé, valamint tömeges adatszivárgás sem történt.

Nézzük az állításokat.

"A hvg.hu manipulált dokumentumra hivatkozott, félrevezető állításaival ellentétben nem érkezett korábban bejelentés a vélt hibáról a vasúttársaság felé."

A hibát nyilvánosságra hozó olvasónk állítása szerint februárban két alkalommal is jelezte a hibát a MÁV felé. Ezt az e-mailről készült képernyőképekkel támasztotta alá. Ezekből nem az eredeti fájlokat küldtük át a MÁV-nak, amikor még arról volt szó, hogy az üzenetek keresése során van szükségük rá. (A MÁV ezeket a képernyőképeket előzetes egyeztetés és engedélykérés nélkül nyilvánosságra hozta.)

MÁV

A képernyőképek tanúsága szerint az e-maileket a ProtonMail nevű szolgáltatással küldték el. Ez a titkosított üzenetek küldésére alkalmas szolgáltatás lehetőséget ad önmegsemmisítő levelek küldésére. (Ilyen formában az eredeti e-mailekkel küldőjük értelemszerűen nem rendelkezhet.) Az elővigyázatosság a BKK-ügy után alighanem érhető. Az önmegsemmisítő e-maileket feladójuk egy szürke sávval ellátva láthatja a ProtonMail alkalmazásban, itt mutatja a rendszer, mennyi ideig elérhető még a levél. A levelezőrendszer alkalmazásában nem látható az elküldés dátuma, de látható annak ideje (óra:perc). Az eredeti screenshotok tetején látszik a mobilkészülék aktuális időt kijelző része is. Az este 10 óra 42 perckor elküldött e-mailről másnap készült screenshot, amikor a telefon órája délután 5 óra 50 percet mutat. A 24 órás önmegsemmisítő visszaszámlálója szerint a törlésig 4 óra 52 perc 29 másodperc van hátra – az időpontok tehát egymáshoz képest stimmelnek. A másik screenshot esetében hasonló a helyzet.

A MÁV állítása szerint a képernyőképeket azok készítője manipulálta. Mivel egy digitális entitáson megfelelő tudás birtokában természetesen bármi szerkeszthető – minden egyes pixel, minden egyes metaadatsor –, így sosem zárható ki 100 százalékos biztonsággal, hogy belenyúlt valaki a képbe. Ebből következik, elképzelhető, hogy valaki a képeket összebarkácsolta. Ám ugyanilyen logika mentén az is elképzelhető, hogy a szerkesztőségbe érkezett, látszólag a MÁV által küldött közleményt valójában nem a vasúttársaság kommunikációs igazgatósága jegyzi – hiszen fake-elt címről is lehet közleményt küldeni.

Természetesen a MÁV álláspontját is szerettük volna cikkünk megjelentetése előtt megtudni. Péntek délutáni híváslistánk szerint összesen 13 alkalommal próbáltuk elérni a MÁV sajtóügyeletesét és informatikai részlegét. Ezután órákon át vártunk visszahívásra, mielőtt megjelentettük cikkünket.

Úgy gondoljuk, a fentiek fényében az elvárható alapossággal jártunk el, amikor cikkünkben így fogalmaztunk: "Hogy a hiba mióta van a MÁV-Start eTicket rendszerében, azt nem tudni." Ehhez valóban hozzátettük azt, miszerint "olvasónk állítja, idén februárban már találkozott vele, sőt február 17-én jelentette is azt a MÁV-nak". Ezt erősíti, hogy az elküldött e-mailekről készített képernyőképek metatagje megegyezik a feltételezett küldési dátumukkal – ezt egy szerkesztőségünk birtokában lévő videó is alátámasztja.

Fülöp Máté

"A hvg.hu (...) félrevezető állításaival ellentétben (...) tömeges adatszivárgás sem történt."

A MÁV közleményében szereplő tétellel szemben cikkünkben nem állítottuk, hogy tömeges adatszivárgás történt. Azt állítottuk, hogy a rendszerben lévő hibát kihasználva egy megfelelően felkészült hackernek erre lehetősége van. Konkrétan azt írtuk, hogy "egyetlen webcím és néhány azonosító variálásával úgy lehet zsonglőrködni, hogy ha akarunk, más emberek vasúti menetjegyeihez is hozzáférhetünk (...) forrásunk saját fiókjával volt bejelentkezve, és minden további nélkül elérte és letöltötte az általunk saját fiókunkkal valóban megvásárolt, kifizetett jegyet".

"A hvg.hu hamis állításával ellentétben a vásárlók elmentett adatai biztonságban vannak, azokból személyes adat kinyerése nem lehetséges."

Ezt is írja közleményében a MÁV. Nem kellett sokat mérlegelnünk, mikor eldöntöttük, cikkünkben nem ismertetjük részletesen azt a módszert, amellyel X saját fiókjába bejelentkezve letöltheti Y menetjegyét. Nem akartunk receptet adni esetleges visszaélésekhez.

Azt írtuk: természetesen nem az a veszély áll fenn, hogy valaki kézzel elkezdi sorra begépelgetni a különféle azonosítókat, hanem az, hogy egy olyan programot ír erre, amely végigpróbál számkombinációkat.

A MÁV sajtósa eleinte annyit mondott, hogy ilyesmi nem lehetséges, mindenképpen tudni kell a felhasználót azonosító számot (User ID-t). Későbbi telefonbeszélgetéseink során már elismerte, hogy ilyen számgeneráló metódus létezhet, de akkor már hozzátette, a MÁV álláspontja szerint a tűzfal kivédi ezeket a próbálkozásokat. (Hogy a tűzfal IP-cím, lokációs adatok vagy az eszközöket azonosító úgynevezett MAC address vagy ezek kombinációja alapján figyel-e, az nem derült ki. Érdemes azonban figyelembe venni – ha már felmerült a manipuláció kérdése –, hogy ezek (is) nagyon egyszerűen változtathatók.)

Stiller Ákos

Ezt úgy lehet alapszinten kivédeni, hogy a rendszer a jegyletöltés előtt ellenőrzi a bejelentkezett felhasználó azonosítóját, és ha a 1512-es felhasználó van bejelentkezve, de a webcímben a 1514-es felhasználó szerepel, akkor megtagadja a kérés teljesítését.

"A hvg.hu állításával szemben fizetés nélkül érvényes jegyet nem lehet generálni a MÁV-START internetes jegyvásárlási felületén keresztül."

Múlt pénteki cikkünk első két mondata a következő: "A MÁV-Start szerint érvénytelen az a vonatjegy, amit az online jegyértékesítő rendszerben – néhány okos gombnyomással – fizetés nélkül generálhat magának bárki. A kalauzok kezében lévő gépi revizor ugyanis jelzi, hogy ott valami nem stimmel."

Cikkünkben az érvényes jegy kifejezés, annak szinonímája és körülírása kizárólag a valaki által annak rendje és módja szerint megvásárolt menetjegyekkel kapcsolatban bukkan fel.

Szerda hajnalban jelezte forrásunk: a MÁV-kommunikáció által nem is létezőnek titulált hibát a MÁV-informatika kijavította. Ha valaki más felhasználóhoz tartozó jegyet próbál letölteni, az alábbi üzenet fogadja.

hvg.hu

A MÁV csütörtöki közleményében végül meg is erősíti a tényt: "Ugyan egy kivezetés előtt álló informatikai rendszerről van szó, de a vasúttársaság kijavította a hibát."

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.