Csütörtökön este került fel a YouTube-ra egy videó, ami alig egy percben mutatja meg, hogyan lehet fizetés nélkül vonatjegyet venni a MÁV weboldalán egy biztonsági rést kihasználva. A videó pénteken kezdett zárt Facebook-csoportokban és fórumokon keringeni, cikkünk írásakor pár száz megtekintést mutat a YouTube számlálója.

A trükk nem tűnik túl bonyolultnak, a webshop vásárlós felületén kell az oldal forráskódjából kimásolni egy kódot, és azt beírni a böngésző címsorában az URL egy bizonyos pozíciójára. A trükkhöz kell egy korábban már szabályosan megvett és kifizetett jegy, annak az kódját lehet újra felhasználni, hogy ugyanarra a vonalra ingyen kapjunk egy új jegyet.

ha ugyanazzal a vonattal utazunk, pl minden hétvégén A-ból B-be, egy előző utazás azonosítóját használva, gyakorlatilag végtelen mennyiségű ingyen jegyet generálhatunk.

- áll a videó leírásában.

A videó feltöltője azt írja, a hibáról még februárban értesítette a vasúttársaságot, de választ azóta sem kapott, és bár magát a jegyvásárló alkalmazást azóta frissítették már, a hiba még mindig él.

Megkerestük a MÁV-ot, és azt a választ kaptuk a cégtől, hogy a módszerrel valóban lehet jegyet generálni, de az a gyakorlatban használhatatlan: a kalauz jegyvizsgáló gépe ellenőrzésnél azt jelzi, hogy érvénytelen a jegy.

Emlékezetes, hogy 2018 tavaszán egy hasonló esetből óriási botrány lett a BKK-nál. Akkor egy 18 éves diák egy olyan kerülőutat talált, amivel fillérekért lehet BKV-bérletet venni online. Az etikus hekker jelezte a hibát a cégnél, de miután ügyet sem vetettek rá, a sajtóhoz fordult. Az ügy kipattanása nyomán meghurcolták, börtönnel fenyegették, de végül az adatvédelmi szabályok áthágásáért a BKK kapott tízmilliós bírságot.