Az üvegvisszaváltási rendszer kihasználása nem mindig követi a helyes utat. Fontos, hogy tudatosan, felelősségteljesen közelítsünk ehhez a lehetőséghez, hiszen a rendszer célja nem csupán a környezetvédelem elősegítése, hanem a közösségi erőforrások megóv

A magyar palackvisszaváltási rendszerének komoly sebezhetőségei lehetnek, mivel a vonalkóddal rendelkező nyomtatott utalványok potenciálisan hamisíthatók bármilyen kívánt összeggel. Ezt a Mantra Information Security szakemberei állítják, azonban hangsúlyozzák, hogy a módszer gyakorlati megvalósítása nem olyan egyszerű feladat - olvasható a hwsw cikkében.

A Mantra Information Security, az IT-biztonság területén jártas vállalat, amelynek alapítója Bucsay Balázs, nemrégiben egy súlyos hibára hívta fel a figyelmet az európai kötelező visszaváltási rendszer (DRS) kapcsán. Ez a probléma elméletileg komoly anyagi előnyökhöz juttathatná a rosszindulatú szereplőket. Fontos megjegyezni, hogy a szakértők nem valósítottak meg konkrét csalást; az etikai normáknak megfelelően értesítették a rendszer üzemeltetőit a felmerült problémáról, és javaslatokat tettek a vonalkódokra épülő újrahasznosítási rendszer biztonságának növelésére.

A Mantra szakértői észlelték, hogy a vonalkód alatt található számsorozat egy része az utalvány értékét jelzi. Ezen érték módosítása potenciális visszaélésekhez vezethet, különösen, ha a rosszindulatú személyek további módszereket is alkalmaznak a csalás lebonyolítására.

A szakértők több minta gyűjtése után azonosították, hogy az utalvány 26 számból álló kódjának utolsó két kulcseleme az összeg és az ellenőrző számjegy, illetve olyan azonosítók is szerepelnek még benne, mint az üzlet egyedi kódja, vagy egy egyszerűsített időbélyeg.

Az ellenőrző számjegy lényegében egy hibaellenőrző kód, amely a számsorozat érvényességét erősíti meg a kasszáknál, ezen a koncepción alapulnak a Luhn-algoritmust használó betéti vagy hitelkártyák (Visa, Mastercard, Amex) is. Ez az algoritmus lehetővé teszi a kártyaszám utolsó számjegyének kiszámítását az előzőek alapján, lehetővé téve a rendszerek számára, hogy hibákat észleljenek a tévesen beírt számjegyek esetén, mielőtt egy tranzakció végrehajtását megkísérelnék.

Bár az automata által létrehozott utalványok nem alkalmazzák a Luhn-algoritmust, a megközelítésük meglehetősen hasonló. Ha egy rosszindulatú személy sikeresen visszafejtené az utalványok hibaellenőrző kódját, elméletileg képes lenne érvényes kódokat generálni különböző összegekkel, akár jelentős, magas értékekkel is.

Bucsay szerint sikerült feltörniük a hibaellenőrző kódot, majd azt Python-szkriptbe implementálni. Egy programmal lényegében az utalvány bármely kódjának megadásával (az ellenőrző számjegy kivételével) kiszámítható válik a helyes ellenőrző számjegy.

Ez azt jelenti, hogy amennyiben valaki megváltoztatná az utalvány kódjában található összeget, képes lenne létrehozni egy új, érvényes utalványt is.

A vonalkód csíkjainak létrehozása nem túl bonyolult feladat, és számos nyílt forráskódú eszköz vagy online platform áll rendelkezésre, amelyek megkönnyítik a folyamatot.

A Mantra szakemberei nem tervezik sem a Python-szkript, sem a mögötte álló matematikai formula nyilvánossá tételét, a szakértők az etikai szabályokat betartva a gyakorlatban nem hajtottak végre visszaélést.

A mögöttes infrastruktúráért felelős céggel már felvették a kapcsolatot, ami elismerte a hiba létezését, és dolgozik a rendszerrel való visszaélések visszaszorítására szolgáló megoldásokon

- fogalmazza meg az IT szakértő.

A Mantra alaposan megvizsgálta nemcsak a magyar, hanem más uniós tagállamokból érkező utalványokat is, és arra a következtetésre jutott, hogy a felmerülő problémák valószínűleg szélesebb összefüggésekkel bírnak.

A sebezhetőséget az jelenti lényegében, hogy az utalvány értéke közvetlenül a vonalkódba van kódolva, és nem védi semmilyen biztonsági mechanizmus az offline támadások megelőzése érdekében.

Az utalvány bemutatásakor az üzlet rendszere képes lenne online ellenőrizni a központi adatbázist, hogy megerősítse az utalvány érvényességét. Ezzel biztosítva lenne, hogy csak a valódi utalványokat fogadják el. Azonban egy ilyen megoldás bevezetése extra erőforrásokat és időt igényelne. Cserébe azonban jelentősen fokozná a biztonságot, és megakadályozná az utalványértékek jogosulatlan manipulálását.

EurópaEurópai UnióSzámjegyMantraSorozatEtikaMastercardAmerican ExpressAlgoritmusHitelkártyaVisa Inc.InformatikaMatematika

Related posts

A PSG játékosa, Ogli, újra rátalált a szerelemre, és ezúttal egy gyönyörű ukrán modell mellett találta meg boldogságát.

A PSG játékosa, Ogli, újra rátalált a szerelemre, és ezúttal egy gyönyörű ukrán modell mellett találta meg boldogságát.

Orbán Viktor újabb köztársasági elnököt látott vendégül Budapesten.

Orbán Viktor újabb köztársasági elnököt látott vendégül Budapesten.

Egy EU-s országban rejtett módon üzemel egy orosz konzulátus, amely egy pártirodának álcázva végzi tevékenységeit.

Egy EU-s országban rejtett módon üzemel egy orosz konzulátus, amely egy pártirodának álcázva végzi tevékenységeit.

Örmények nyomában: Fedezd fel a történelmet és kultúrát Az örmények nyomában járva nem csupán a múlt titkait ismerhetjük meg, hanem egy gazdag kultúra lenyűgöző szövetét is felfedezhetjük. Az örmények, akik évszázadok óta élnek az ősi Kaukázusban, büszké

Örmények nyomában: Fedezd fel a történelmet és kultúrát Az örmények nyomában járva nem csupán a múlt titkait ismerhetjük meg, hanem egy gazdag kultúra lenyűgöző szövetét is felfedezhetjük. Az örmények, akik évszázadok óta élnek az ősi Kaukázusban, büszké

SZOLJON - A szolnoki röplabdázók továbbra is megőrzik vezető pozíciójukat!

SZOLJON - A szolnoki röplabdázók továbbra is megőrzik vezető pozíciójukat!

FIGYELEM – Támogassuk a nagykörűieket: lisztadomány érkezik a rászoruló családok számára!

FIGYELEM – Támogassuk a nagykörűieket: lisztadomány érkezik a rászoruló családok számára!