Szakértők szerint kijátszható a SZÉP-kártya védelme

A BalaBit nevű magyar internetbiztonsági cég szerint az üdülési csekken kívül a melegétel utalványok és az egészségpénztári szolgáltatások egy részének funkcióit is magába olvasztó SZÉP-kártyákon nem megfelelően védettek a kártyatulajdonosok személyes adatai. A társaság szakértőinek vizsgálatai szerint az okoz problémát, hogy a kártyákkal való internetes fizetéshez általában elegendő a kártyaszám és a lejárati dátum megadása, semmilyen egyedi azonosító megadására nincs szükség.

A Balabit szakértői úgy vélik, hogy a SZÉP-kártyával történő személyes fizetés esetén is PIN-kódot kellene alkalmazni, jelenleg ugyanis erre nincs szükség, a pénztárosok csak az aláírást és a személyes iratokat ellenőrizhetik. Ráadásul a fizetéskor kapott bizonylatok minden olyan információt tartalmaznak, amelyekre az adott SZÉP-kártyával való internetes fizetéshez szükség lehet.

Nem védik eléggé az internetes fizetést

Bár az előírások szerint meg kellene adni a kártyabirtokos és a kártya kibocsátójának nevét is, ezeket sem nehéz megszerezni, mivel ha valaki SZÉP-kártyával fizet valahol, ezek megtalálhatóak a blokkon. A feltételezett támadók akár néhány próbálkozásból képesek lehetnek kitalálni a szükséges adatokat, mivel a kiadott SZÉP-kártyák jelentős része azonos időben, öt év múlva februárban vagy márciusban fog lejárni, kártyakibocsátóból pedig jelenleg csupán három cég működik itthon, az OTP, az MKB és a K&H Csoport, így ezek neveire is könnyen rájöhetnek kiberbűnözők egyszerű próbálkozással.

A Balabit szakértői a SZÉP-kártyát használóknak azt javasolják, hogy a kártyához kapott telefonos kódot a felhasználók az első alkalommal változtassák meg, az azzal való fizetéskor soha ne hagyják a pénztárnál, vagy ne is dobják ki a közelben a kapott blokkot. Ezen felül érdemes titokban tartani a kártyák számát és lejárati dátumát, illetve ellenőrizni a kártyaegyenleget, hogy minden gyanús tranzakciót azonnal észlelni lehessen.

A kibocsátók szerint nincs veszély

A BalaBit által felvetett aggályokra a három hazai kártyakibocsátó cég, az OTP, az MKB és a K&H Csoport közös nyilatkozatot adott ki. Ebben a cégek, hogy a SZÉP-kártyához hasonló funkciókkal rendelkező egészségpénztári fizetési kártyák hasonló védelmi funkciókkal rendelkeznek, és ezekkel kapcsolatban eddig nem tapasztaltak visszaéléseket. A bankok szerint a kártyaszámok egy részletének kitakarását a blokkokon utólag is meg lehet oldani, erre eddig azért nem került sor, mert semmilyen visszaélés nem történt a hasonló működési elvű kártyákkal.

A kibocsátók szerint nem lehet egyszerűen visszaélni a SZÉP-kártyákkal sem, mert internetes foglalás esetén elég könnyen lebuktatható a csaló személye, ha például házhozszállítást kér, vagy személyesen veszi igénybe szolgáltatást. A társaságok közleményükben arra is kitérnek, hogy a SZÉP-kártyával végzett fizetések tizenöt munkanapos utalási határidővel történnek, ami lehetőséget ad az utólagos reklamációra és a jogosulatlan felhasználás kiszűrésére is, a kártyákat pedig telefonos ügyfélszolgálaton is le lehet tiltani.