Az üvegvisszaváltásnál a legnépszerűbb megoldás a nyomtatott készpénzre is váltható utalvány, melyen a visszaváltott palackok adatai mellett az összeg és a szokásosnál szélesebb, alul hosszú számsorral szegélyezett vonalkód látható. A legtöbb egydimenziós (1D) vonalkódhoz hasonlóan ez a számsor a vonalkódolvasók számára értelmező formátumban tartalmazza a fontosabb információkat különféle vastag és vékony csíkokba kódolva. A vonalkód alatti szám megegyezik a benne tárolt számsorral, ami bárki számára könnyen kiolvasható.
A Mantra szakértőinek feltűnt, hogy a vonalkód alatt feltüntetett számsorozat egy részlete mutatja az utalvány értékét, aminek a megváltoztatása esetleges visszaélésekre adhat lehetőséget – írja a HWSW.
Az utalvány 26 számból álló kódjának utolsó két kulcseleme az összeg és az ellenőrző számjegy, illetve olyan azonosítók is szerepelnek még benne, mint az üzlet egyedi kódja, vagy egy egyszerűsített időbélyeg.
Amennyiben a csalók visszafejtenék az utalványok hibaellenőrző kódját, elméletileg érvényes kódokat generálhatnának egyedi összegekkel, akár egészen magasakkal.
A sebezhetőséget az jelenti lényegében, hogy:
Az utalvány értéke közvetlenül a vonalkódba van kódolva, és nem védi semmilyen biztonsági mechanizmus az offline támadások megelőzése érdekében. Ha valaki képes előállítani vagy módosítani a vonalkódot, elméletben azonnal észlelés nélkül módosíthatja az utalvány értékét.
A Mantra szakemberei jelezték a hibát az infrastruktúráért felelős cégnek, amely elismerte a hiba létezését, és már dolgozik a rendszerrel való visszaélések visszaszorítására szolgáló megoldásokon.
Kiemelt fotó: illusztráció, MTI/Bruzák Noémi