SZÉP-kártyások adatai szivárogtak ki

2012.05.07. 11:43

Egy magyar informatikai portálon egy olyan hiperlinket publikáltak, amelyben a Széchenyi Pihenőkártyával fizetett tranzakciók adatai, többek közt SZÉP-kártyával vásárlók e-mail címei voltak olvashatók. Az innen kinyert adatokkal adathalász támadást lehetett volna indítani, a kártyatulajdonosok nevében azonban ezek birtokában sem lehetne vásárolni, mivel a kártyák számait a lista nem tartalmazta.

A HUP nevű informatikai portálon hétfőn délelőtt közzétett bejegyzésben egy olyan hiperlinket publikáltak, amelyen az egyik budapesti ételházhozszállítással foglalkozó cég webes rendeléseinek SZÉP-kártyával fizetett tranzakcióinak naplóit lehetett elolvasni, a bejegyzést később törölték. A nyilvánosságra hozott oldalon különböző rendelési azonosítók mellett a rendelések értékét, és a megrendelők e-mail címei voltak megtalálhatók.

Nem volt lejelszavazva az oldal

A kiszivárogtatott oldal a Yourbank.hu nevű webes fizetési szolgáltató rendszerében működött, az [origo] vizsgálatai szerint hétfőn reggel még elérhető volt. A fizetési szolgáltató cég üzletágvezetője, Németh Róbert az [origo]-nak elmondta, hogy a portálon publikált linken a SZÉP-kártyát elfogadó kereskedők könyvelőinek szánt, havi forgalmi adatokat tartalmazó lista volt elérhető. Németh hangsúlyozta, hogy ez a lista nem tartalmazta a SZÉP-kártyák számait - ezekre ugyanis a partnercégek könyvelőinek nem lehet rálátásuk. A cég képviselője szerint a listához normál használat mellett nem, csak a fizetési rendszer nem rendeltetésszerű használatával volt hozzáférhető.

Az üzletágvezető szerint az adatokra azért találhatott rá külső fél, mert az ezeket tartalmazó oldal egy hiba miatt nem volt jelszóval védve, ahogy a többi kereskedő esetében, a délelőtt folyamán a kiszivárgott oldalt előbb elérhetetlenné volt, fél 12 tájékára pedig jelszóvédetté vált.

Az [origo]-nak névtelenül nyilatkozó internetbiztonsági szakértők szerint a hiba miatt nyilvánosságra került listában lévő adatokat például a SZÉP-kártyával fizető ügyfeleket célzó adathalász támadásokhoz lehetne felhasználni, a nevükben azonban nem lehetne vásárolni ezen adatok birtokában sem.

Egyszer már megrengett a bizalom

A Széchenyi Pihenőkártyák kibocsátása után a BalaBit magyar internetbiztonsági cég bocsátott ki közleményt arról, hogy a kártyán alkalmazott biztonsági megoldásokat elégtelennek érzik a cég szakértői. A BalaBit vizsgálata szerint a kártyával való internetes fizetéshez elegendő a kártyaszám és a lejárati dátum megadása, egyedi azonosító (például PIN-kód) megadására nincs szükség. A SZÉP-kártyás személyes fizetés végén kapott bizonylatok minden olyan információt tartalmaznak, amivel sikeres internetes fizetést lehet végrehajtani.

A lejárati dátum esetén különösen könnyű dolga van a feltételezet támadóknak, mert a kártyák öt évig érvényesek, és a jelenleg forgalomban leév kártyákat február és március során adták ki. A BalaBit arra intette az ételutalvány helyett SZÉP-kártyát használókat, hogy a bizonylatokat vigyék magukkal a fizetés után és ne a pénztár környékén dobják ki.

A három hazai kártyakibocsátó cég közös nyilatkozatban válaszolt a kiberbiztonsági cég aggályaira. A cégek szerint a SZÉP-kártyához hasonló elven működő egészségpénztári kártyákkal kapcsolatban nem tapasztaltak visszaéléseket. Valamint a megszerzett adatokat illetéktelenül felhasználókat könnyen le lehet buktatni, ha házhozszállítással kérik az interneten megvett terméket.