Más fesztiválkártyájáról loptam

A fesztivál egyik borozójánál Pozsi fizet előttem, az élő legenda. Minden Sziget minden napján kint volt 1993 óta; ha valaki, ő ismer minden trükköt és csapdát a Hajógyárin. Illetve majdnem minden csapdát, mert úgy tartja a fesztiválkártyáját, hogy a háta mögül simán le tudom fotózni a kártyaszámot, nem is veszi észre. Ha akarnám, most ellophatnám szegény Pozsi vörösboros kólákra szánt vagyonát, a fesztiválkártya rendszerében ugyanis van egy biztonsági rés.

Más kártyájával a csalánt

A Metapay Fesztiválkártya tavaly óta hivatalos készpénz-helyettesítő eszköze négy fesztiválnak – Gourmet Fesztivál, Volt, Balaton Sound, Sziget –, ami azt jelenti, hogy a biztonsági rés már több mint egy éve a rendszer része. Hogy létezik, azt egy IT biztonsági elemző cég, a Search-Lab egyik szakembere szúrta ki az idei Volton. Feltűnt neki, hogy a kártyaregisztrációhoz semmi más nem kell, csak a kártyaszám, és ezt továbbgondolva jött rá arra, miként lehet más kártyájával inni a kilencszáz forintos feleseket és a hatszáz forintos viceházmestereket, vagy akár az összes pénzt levenni a kártyáról. Ráadásul a rendszerben található hiba nem technikai, hanem szervezési jellegű, vagyis nem kell semmilyen különleges szakmai ismeret a visszaéléshez.

Most, hogy idén már nincs olyan rendezvény, amin ki lehetne használni a rendszer hibáját, leírjuk a módszert. A kártya regisztrációja nem kötelező, de ha a kártya elveszik, a tulajdonosa csak akkor tilthatja le, illetve kaphatja vissza róla a pénzét, ha korábban regisztrált. A sikeres csaláshoz annyit kell tenni, hogy az ember szerez egy olyan kártyaszámot, amit a gazdája nem regisztrált. Mint Pozsi esetében láttuk, ez elég egyszerű, de a kártya lefotózása mellett működik az is, ha megjegyezzük az előttünk fizető kártyaszámát vagy valamilyen indokkal elkérjük a kártyáját, hogy „megnézzünk rajta valamit”. Sőt, az idei Balaton Soundig elég volt egy feltöltéskor kapott blokk is – amit sokan rögtön eldobnak a feltöltés után –, ezen ugyanis szerepelt a kártyaszám.

A megszerzett, nem regisztrált kártyaszámmal a csaló regisztrál sms-ben vagy a Metapay honlapján. Ehhez fizikailag nem kell birtokolnia a kártyát, csak a számot kell ismerni, ezen kívül meg kell adnia egy emailcímet és egy mobilszámot – mivel egy új emailt pofonegyszerű regisztrálni, és Magyarországon elérhető olyan mobilszolgáltatás, ami bediktált adatok után (tehát hivatalos okmány bemutatása nélkül) már él, a kártyaregisztráció történhet anélkül, hogy bármilyen nyom vezetne a csaló személyazonosságához.

Ezután a csaló letiltja a kártyát, majd odamegy a fesztiválon a Metapay reklamációs pultjához, és közli, hogy elvesztette a kártyáját. Erre néhány keresztkérdés után kap egy új kártyát a régin levő összeggel, és már mehet is költeni róla a pénzt (vagy akár felvenni készpénzben egy feltöltőpultnál), miközben a kártya eredeti tulajdonosa csak annyit fog észlelni, hogy már nem működik a kártyája.

Rés a pajzson

A Search-Lab az idei Balaton Soundon próbálta ki, hogy a fenti módszer működik (persze nem idegenek kártyáival, hanem sajátokkal), és dokumentálta a látottakat. A rendezvény alatt értesítették a Metapay Fesztiválkártyát üzemeltető Meta – MPI Pénzügyi Informatikai Kft-t, és a Balaton Sound után leültek velük egyeztetni. „Jeleztük, hogy a fő probléma az, hogy a kártya birtoklása nélkül is be lehet azt regisztrálni, ezt kellene megnyugtató módon kivédeni. Javasoltuk, hogy a kártyára való pénzfeltöltéskor kapott bizonylaton szerepeljen egy kód, amit meg kell adni regisztrációkor. A kártyaszámot természetesen – ettől függetlenül is – részben el kell fedni a bizonylaton. Így önmagában sem a kártyaszám, sem a bizonylat nem tartalmaz elegendő információt a regisztrációhoz” – magyarázza Kerényi Kristóf, a problémát jelző cég munkatársa.

A Metapay megfogadta ezt a tanácsot, valamint kiegészítette a rendszert még egy további biztonsági lépéssel, hogy ha mégis megtörténik a csalás, legalább a csaló személye könnyebben azonosítható legyen. „A helpdesk folyamataiban változtattunk bizonyos dolgokat, amelyek lehetővé teszik, hogy probléma esetén precízebben orvosoljuk azt: minden kártyacserekor bekérünk személyi adatokat, illetve egy személyi okmányt” – fogalmaz Lévai Gábor, a Meta – MPI Pénzügyi Informatikai Kft. ügyvezető igazgatója. És valóban, a metapay.hu-n a fesztiválkártya felhasználási feltételeiben meg is jelent egy új kitétel: „Az elveszett kártya pótlása a Helpdesk ponton személyesen, személyazonosságot igazoló dokumentum (személyi igazolvány, útlevél) felmutatásával lehetséges, a kártya letiltása után.”

Mivel szerettük volna ellenőrizni, hogy ezzel sikerült-e betömni a biztonsági rést, a Szigeten mi is megpróbáltunk csalni: a fenti módszerrel megkíséreltem megrövidíteni Szabó Zoli kollégámat (mégsem Pozsit, elvégre ő egy legenda). Az akció sikerült, és nem is volt nehéz – annak ellenére, hogy látszik, a Metapay rendszerébe tényleg kerültek szigorítások.

A kötelező kód, ami nem kötelező

Például a kártyaszám már valóban csak kicsillagozva szerepel a feltöltéskor kapott bizonylaton, és megjelent rajta a regisztrációs kód is. Ezt a kódot sms-ben való regisztráláskor kötelező lett volna megadni, de a Metapay honlapján nem zárult be a biztonsági rés: tudtam regisztrálni Szabó Zoli kártyaszámával úgy is, hogy nem töltöttem ki a regisztrációs kódot (hiába jelezte a honlap, hogy azt kötelező megadni). Ezután megpróbáltam sms-ben letiltani Zoli kártyáját, de ez nem sikerült, ezért a helpdeskhez vonultam, és ott tiltattam le a kártyát. Ez különösebb bökkenő nélkül ment, és harminc perc múlva mehettem is az új kártyámért az „elveszett” régi helyett, rajta kollégám pénzével.

A korábban említett keresztkérdésekre nem volt nehéz válaszolni, a reklamációs pontnál azt kellett tudnom, nagyjából mennyi pénz van a kártyámon (ezt láthattam, amikor Zoli fizetett előttem), hol vásároltam vele (szintén), ezenkívül ismernem kellett a regisztrációkor megadott adatokat (amelyeket ugyebár én adtam meg), és be kellett diktálnom egy személyi okmány számát – tehát semmilyen iratot nem kértek tőlem, bemondásra elhitték, mi az útlevélszámom.

Ezután a Megszívatott Kártyatulajdonos (a címszerepben: Szabó Zoltán) jelentkezett a helpdesknél, ahol elmondta, hogy egyszer csak elkezdett nem működni a kártyája. A pultban dolgozó hölgy meg volt győződve arról, hogy csakis jóhiszemű kártyacsere történhetett, a megoldás pedig meglepő volt: megadta Zolinak a telefonszámomat. Képzeljük el azt az élethelyzetet, hogy a jogos kártyatulajdonos felhívja a csalót, hogy figyi, add már vissza a pénzem.

Kevesen regisztrálnak

A biztonsági rés tehát a Szigeten is létezett még a – magát egyebek között a biztonságosságával hirdető, idén Innovációs Nagydíjat nyert – fizetési rendszerben. A teljesség kedvéért azért meg kell jegyezni, hogy a fenti módszerrel nem lehet milliós tételben lopni. Persze, ha valakinek egy egész hétre szánt egyenlege tűnik el, az nagyon kínos tud lenni, de Lévai szerint ilyen nem történt, egyik fesztiválon sem volt valós visszaélés. A Szigeten pedig a regisztrációs kód nagyban növelte a biztonságot, mert bár a honlap valóban továbbengedett minket, a regisztrálók 99,8 százaléka sms-ben regisztrál, ahol kötelező megadni a kódot – állítja Lévai.

A pórul járt Szabó Zoli mindenesetre igazolja, hogy bár nem kötelező regisztrálni a kártyát, érdemes, mert így elejét lehet venni sok problémának. Mégis nagyon kevesen regisztrálnak legalábbis a Szigetet megjárt indexesek körében végzett nem reprezentatív felmérésünk lesújtó eredmény hozott. Pozsival együtt tizenhét ember egyáltalán nem élt ezzel a lehetőséggel, csupán három regisztrált, egy pedig azt mondta, hogy mivel egy napra ment csak ki, nem regisztrált, de ha egész hétre ment volna, fix, hogy regisztrált volna.

A Metapaynek a két rendezvény között nem volt sok ideje a rendszer fejlesztésére, talán ezért sem sikerült a biztonsági sérülékenységet teljesen kiiktatni. Jövőre viszont a biztonsági szakemberekhez hasonlóan mi is árgus szemekkel fogjuk figyelni, milyen további lépéseket tesznek Lévaiék. Mert az ügyvezető szerint lesznek komoly biztonsági fejlesztések, a Metapay például idén már tesztelte a karszalagba épített fizetőkártyát. Ezzel megszűnne az elveszett kártya problémája, hiszen a fizetőeszköz mindig a fesztiválozó csuklóján lenne, csak a karszalag – tehát a belépő – levágásával lehetne elvenni. Azt meg azért csak észrevenné Pozsi is.