A repontokon a legnépszerűbb megoldás a készpénzre is váltható utalvány, melyen a visszaváltott palackok adatai mellett az összeg és a széles, alul hosszú számsorral szegélyezett vonalkód látható. A legtöbb egydimenziós vonalkódhoz hasonlóan ez is a fontosabb információkat tartalmazza különféle vastag és vékony csíkokba kódolva. A vonalkód alatti szám megegyezik a benne tárolt számsorral.

Az IT-biztonsággal foglalkozó Mantra Information Security azonban felfigyelt egy kritikus hibára, amely elméletben jelentős anyagi haszonszerzésre adhatna lehetőséget a rosszindulatú szereplőknek - írja a hwsw. A vonalkód alatt feltüntetett számsorozat egy részlete ugyanis mutatja az utalvány értékét, amelynek megváltoztatása esetleges visszaélésekre adhat lehetőséget, amennyiben egy további metódust is követnek a rosszindulatú felek.

Az eljárás lényegéhez elég annyi, hogy a kódok alatti számsorban van egy ellenőrző számjegy. Ez lényegében egy hibaellenőrző kód, amely a számsorozat érvényességét erősíti meg a kasszáknál, ezen a koncepción alapulnak a Luhn-algoritmust használó betéti vagy hitelkártyák (Visa, Mastercard, Amex) is. Ez az algoritmus lehetővé teszi a kártyaszám utolsó számjegyének kiszámítását az előzőek alapján, lehetővé téve, hogy a rendszerek hibákat észleljenek a tévesen beírt számjegyek esetén, mielőtt egy tranzakció végrehajtását megkísérelnék.

A Mantra Information Security alapítója, Bucsay Balázs jelezte: sikerült feltörniük a hibaellenőrző kódot, és így az utalvány bármely kódjának megadásával (az ellenőrző számjegy kivételével) kiszámítható válik a helyes ellenőrző számjegy.

Ez azt jelenti, hogy ha valaki módosítaná az utalvány kódjában szereplő összeget, egy új érvényes utalványt is létrehozhatna.

A vonalkód csíkjainak előállítása sem különösebben nehéz, elvégezhető nyílt forráskódú eszközök vagy online források segítségével.

A Mantra szakemberei nem fogják közzétenni a Python-szkript, sem a mögötte álló matematikai formula nyilvánossá tételét: a szakértők az etikai szabályokat betartva a gyakorlatban nem hajtottak végre visszaélést. A mögöttes infrastruktúráért felelős céggel viszont már fel is vették a kapcsolatot, amely elismerte a hiba létezését, és dolgozik a rendszerrel való visszaélések visszaszorítására szolgáló megoldásokon.

A nemcsak magyar, hanem más uniós országokból származó utalványok vizsgálata után a cég egyébként arra a következtetésre jutott, hogy a probléma szélesebb körű lehet.