Keresés

Közösség

Feedek

XML

Linkblog

Címkék

adatmentés (1) adatvédelem (2) aliceesbob (2) android (2) audit (2) aws (3) búcsú (1) cloud (4) cpp (1) dokumentumok (2) esemény (3) esettanulmány (8) ethical hacking (6) facebook (1) felhasználókezelés (2) fraud (2) gépházból jelentjük (11) gondolatka (16) hacking (10) hacktivity (3) hétpecsét (2) hirdetés (2) ibir (1) incidenskezelés (3) infojog (2) információszivárgás (2) iso27001 (1) itbusiness (1) itscc2010 (4) java (1) jelszó (2) kezdő dba (2) kitekintés (2) kockázatkezelés (2) könyvajánló (3) lockpicking (1) mobil biztonság (1) mobil kommunikáció (1) msword (1) naplóelemzés (2) népszámlálás (1) oracle (2) oscp (1) pebkac (1) poénka (4) programozás (6) pszichológia (2) rackspace (1) rendelkezésre állás (2) rootkit (2) sajtófigyelés (2) scam (3) sdlc (2) social engineering (3) szabályzat (1) tanácsadás (3) tanácsadóbeszél (2) technika (1) tedx (1) termékvédelem (1) teszt (2) történet (6) vagyonleltár (1) verseny (2) virtualizáció (1) vírus (1) vizsga (1) wall of sheep (2) wifi (2) Címkefelhő

Az adatvédelem nem a szerencse dolga

2011.06.02. 09:25 | aliceesbob | 1 komment

Címkék: adatvédelem fraud gépházból jelentjük

Az ügyféladatok védelmének fontosságát egyetlen szakmabeli előtt sem kell ecsetelni. Jól kidolgozott gyakorlatok vannak arra, hogyan lehet óvni tíz- vagy százezer banki, szolgáltatói ügyfél adatait, azonosságát. De mit csináljunk, ha egyetlen ember - mondjuk a lottóötös nyertesének - a kilétét kell megvédenünk? A Szerencsejáték Zrt-nél pontosan tudják.

Valószínűleg mindenki elgondolkodott már azon, mit tenne, ha igazán nagy összeget nyerne a lottón: hol és hogyan nyitna számlákat, hogyan venné fel a nyereményét, hogyan igyekezne eltitkolni a kíváncsi szemek elől szerencséjét és hirtelen jött gazdagságát. Kevesen jutunk el odáig, hogy az elméletet a gyakorlatban is kipróbáljuk, de aligha járnánk sikerrel: egy nagyobb nyereményt hosszabb távon úgysem lehet mindenki előtt titokban tartani. Egyvalamiben azért erősen bízhatunk: hogy a Szerencsejáték Zrt-től (SZRT) nem kerülnek ki személyes adataink.

Rendhagyó interjú következik az Alice és Bob történetében: alanyunk – biztonsági okból -- nem szerepel névvel. Elég annyit tudnunk róla, hogy az SZRT-nél ő koordinálja és felügyeli a rekordösszegű nyeremények kifizetését. A nyereményekről, a kifizetésekről, a csalási kísérletekről és azok kivédéséről kérdeztük.

Mi számít egyáltalán nagy nyereménynek?

40 millió forint fölött nagy nyereményről, 300 millió fölött pedig rekordnyereményről beszélünk; a különleges rendszabályok ez utóbbiakra vonatkoznak. Ilyen egyébként nem csak az Ötöslottóban, hanem más játékainknál is előfordul.

Miért kell egyáltalán védeni a nyertesek személyazonosságát?

Mi lennénk a legboldogabbak, ha amúgy amerikai mintára a nyertesek kiállnának a nyilvánosság elé, és vállalnák a nyereményt. Ennél jobb reklámot el sem tudnánk képzelni. Ez itt viszont Magyarország és nem Amerika: a kulturális különbségek miatt egyszerűen nincs senki, aki hajlandó lenne arccal, névvel vállalni, hogy nyert. Ha már túl nagy a médiaérdeklődés, akkor megpróbálunk megszervezni egy írásbeli interjút: megkérjük a nyertest, hogy írásban válaszoljon néhány (bulvárjellegű) kérdésre, és ezt jelentetjük meg különböző lapokban.

Ha valakinél beüt a szerencse, hogyan juthat a több száz milliós, esetleg milliárd fölötti nyereményhez?

Az első lépés, hogy jelentkezni kell egy megadott mobilszámon - az ő érdekében semmilyen más módon nem vagyunk hajlandók kapcsolatba lépni vele. Ez a szám munkanapokon 8 és 18 óra között hívható, az SZRT egyik vezető munkatársánál (például nálam) csörög. Mivel tudjuk, mikor volt rekordnyeremény, számítunk is a hívásra.

Egyébként a sorsolás után 90 napig lehet jelentkezni a nyereményért. A határidő utáni jelentkezéseket nem tudjuk elfogadni, méltányosságot nem gyakorlunk, és nem azért, mert szőrös szívűek lennénk -- egyszerűen a játékszabályzat nem engedi. 90 nap után ugyanis már nem a befizetésekből, hanem az SZRT eredményének terhére tudnánk csak kifizetni a nyereményt, azt pedig a tulajdonos -- a magyar állam -- aligha nézné jó szemmel.

Sok nyeremény "ragad be"?

Tizenkét év alatt három darab, 100 millió forintot meghaladó lottónyereményért nem jelentkezett a tulajdonosa, a csúcs 430 millió forint volt. Valamivel gyakoribb (nagyjából kétévente fordul elő), hogy 100 millió forint nagyságrendű joker-nyereményt nem vesznek fel. A többség egy-két héten belül azért jelentkezik, de olyan is volt, aki hétfőn reggel 8:03-kor már jött volna elintézni a nyereménykifizetést.

Hogyan zajlik az első telefonbeszélgetés?

Nekünk először is meg kell győződnünk arról, hogy a vonal túlsó végén tényleg a nyertes van; amíg ebben nem vagyunk biztosak, addig nem lépünk tovább, és semmilyen információt nem adunk ki. Az azonosításhoz a játékszelvényen lévő információkat használjuk, azon ugyanis számos olyan adat van, amit csak a szelvény birtokosa ismerhet.

Mindenki tudhatja persze a nyertes számokat, az SZRT pedig kötelezően közzéteszi a szelvény 26 jegyű sorszámának első húsz számjegyét, de ezen kívül a szélesebb nyilvánosság elméletileg semmit sem ismerhet. Nálunk viszont, a rendszer működéséből adódóan, megvan minden egyes szelvény teljes információtartalma, hiszen az elárusítóhelyekre a központi rendszerből megy a nyomtatási utasítás.

Így aztán, ha felhív minket a nyertes (vagy az, aki annak mondja magát), rögtön felteszünk neki néhány egyszerű kérdést: hol és mikor játszotta meg a szelvényt? Hány mezővel játszott? Mi volt a harmadik mező harmadik száma? Mi volt a negyedik mező legkisebb száma? Ha ezekre kapásból tudja a választ, akkor már beszélhetünk a továbbiakról. A nevét nem kérdezzük, bár van, aki egyből bemutatkozik; de olyan is előfordult, hogy a telefonáló nem hitte el, hogy a vonal innenső végén tényleg az illetékesek ülnek, és csak akkor oldódott fel, amikor elárultuk neki, hogy milyen utcában adta fel a szelvényét. Ha mással nem, azzal általában sikerül eloszlatnunk a leggyanakvóbb játékos félelmét is, amikor megkérdjük tőle: hallott már olyanról, hogy a Szerencsejáték Zrt. nem fizette ki valakinek a nyereményét?

Ezután hogyan tovább?

A nyeremény átvételéhez mindenképpen személyes megjelenésre van szükség, mert az SZRT vezető munkatársaiból összeálló kifizetési bizottság előtt kell végbemennie a kifizetési eljárásnak. Ezt persze nem úgy kell elképzelni, hogy bejön az illető, és közli, hogy jött a másfél milliárd forintért, mire a biztonsági őrök elkérik a személyijét. A telefonbeszélgetések során kap egy "varázsszót", és ha azt bemondja, a biztonsági őrök semmit nem kérdeznek tőle, hanem egyből a bizottság elé kísérik.

Ilyenkor elkérjük a szelvényt, és ugyanúgy átfuttatjuk a terminálon, mint ahogy a lottózókban is átfuttatják, amikor mondjuk a kettes találatát akarja beváltani valaki. Ezt a játékszelvényen található biztonsági azonosító kód ellenőrzése miatt kell megtennünk, így is ellenőrizve a szelvény valódiságát. Hiába ismerné tehát valaki a nyertes szelvény minden, a játékkal összefüggő adatát, akkor sem tudná becsapni a rendszert, hiszen a biztonsági kódot előállító algoritmus a rendszert szállító cég féltve őrzött titka.

Ha ezen is túlestünk, jöhet a papírmunka. Ekkor már mindenképpen rögzíteni kell a nyertes személyes adatait, mert erre szükség van a kifizetéshez. Az eljárás szabályai minden részletükben kidolgozottak és lefektetettek, a dokumentáción soha nem változtatunk, még a nyertes vagy az esetlegesen vele érkező ügyvédje kérésére sem. A folyamatokat egyébként úgy dolgoztuk ki, hogy a szobából ne kerülhessen ki a nyertes neve vagy más személyes adata. A papírokat ugyan géppel töltjük ki, de az így előállított Word-fájlokat nyomtatás után töröljük; a papírok lepecsételt borítékba kerülnek, amit azonnal átviszünk a saját irattárunkba, amely az épület legbiztonságosabb részén van. A továbbiakban elektronikusan semmilyen személyes adatot nem tárolunk.

Nagyon paranoiásak a nyertesek?

Ez erősen változó. Van, amikor jön az egész család, és már az ajtóban bontják a pezsgőt. Máskor ügyvéddel jön az illető, aki mindenáron saját titoktartási nyilatkozatot akart velünk aláíratni; a nyertes csak akkor gondolkodott el (és tért jobb belátásra), amikor megkérdeztük tőle, hogy vajon az ügyvéd úrral is íratott alá ilyen titoktartási nyilatkozatot? De ha valaki nagyon félne, akkor észrevétlenül és biztonságosan ki tudjuk juttatni az épületből.

Hogyan fizet a Szerencsejáték Zrt?

A szabályzatban az is szerepel, hogy kizárólag átutalással, magyarországi forint folyószámlára fizetünk. Általában azt tanácsoljuk, hogy egy számlára legfeljebb 200-300 millió forintot utaljon valaki; ha tehát ennél jóval nagyobb az összeg, akkor érdemes több számlát nyitni. A bankkal nem lesz gondja, hiszen feladóként az SZRT szerepel, lehet tudni, hogy nyereményről van szó.

Egyébként megállapodásunk van hat nagy magyarországi bankkal, hogy az ilyen átutalásoknál nem kérik a nevet, elég csak számlaszámot megadni. Ezzel tovább tudjuk növelni a nyertesek anonimitását, hiszen azok sem fogják ismerni a nevet, akiknek az SZRT-n belül az utalások indítása a dolguk. Ilyenkor persze nagyon kell figyelni, hogy jó legyen a számlaszám, mert nincs lehetőség a hibák korrigálására. Óriási szerencséje volt annak a játékosnak, aki ugyan rossz számot adott meg, de az pont az utolsó, ellenőrző karakter volt, így az utalás nem ment át. De még az is előfordult, hogy a bank által kiadott szerződésen szereplő számlaszámból hiányzott egy számjegy.

Az alkalmazott módszerek hatékonyságát szerintem jól mutatja, hogy az eltelt évek alatt tőlünk még egyszer sem szivárogtak ki a nyertesek személyes adatai. Arról már nem mi tehetünk, ha a környezetük más forrásból értesül a szerencséjükről.

No és hogyan védekeznek a csalások, a sorsolás manipulálása ellen, ami a városi legendák egyik kedvelt témája?

No igen, számos történet kering erről. Ha kiderül rólam, hogy hol dolgozom, tőlem is mindig megkérdik, hogy mik lesznek a következő heti nyerőszámok, és az az érzésem, hogy nem minden esetben viccelnek. Ezzel együtt a manipuláció gyakorlatilag kizárt. A játékok online módon zajlanak: az értékesítő helyeken beolvasott segédszelvények alapján a központi rendszer küldi ki a nyomtatási parancsot a terminálra, és egyúttal el is tárolja az információt (ebből dolgozunk, amikor ellenőrizzük a nyertes kilétét). A fogadási rendszert a húzás előtt tíz perccel zárjuk; ekkor a teljes adatbázisról biztonsági mentést is készítünk, amit elektronikus aláírással és időpecséttel is ellát egy külső szervezet, tulajdonképpen egy online közjegyzői folyamat zajlik.

A játékban csak olyan szelvény vehet részt, amely szerepel ebben az adatbázisban: utólag mutathat bárki bármilyen szelvényt, ha az nem szerepel a rendszerben, nincs nyeremény. Ehhez persze hozzátartozik az is, hogy sem hozzátenni, sem elvenni nem lehet az adatbázisból: több példányban őrizzük, a hozzáférés szigorúan szabályozva van, minden tranzakció naplózott, és semmi nem marad észrevétlen. Voltak már bírósági ügyek a nyeremény kifizetésekkel kapcsolatban, de a bíróság eddig mindig elfogadta az informatikai rendszereinkből származó adatokat bizonyítékként. Azt is alaposan megnézzük, hogy kit veszünk fel informatikusnak: háttérvizsgálatokat folytatunk (természetesen a tudtukkal és beleegyezésükkel), és később is figyeljük, hogy nem következik-e be hirtelen változás az életmódjukban.

A számhúzást megint csak nem lehet befolyásolni, bármennyire is szép elméletek születtek a hűtött golyókról és egyéb megoldásokról. Az is mindig csak adás előtt dől el, hogy gépi vagy kézi sorsolás lesz-e, a gépek manipulációjára nincs lehetőség. Sorsolásaink egyébként nyilvánosak, bárki, bármikor megbizonyosodhat afelől, hogy nem lehet befolyásolni a sorsolást. És hadd mondjak még két dolgot. Egyrészt biztosan kiderülne, ha manipulálnánk a sorsolást, hiszen ehhez sok embernek kellene nagyon komoly előkészületeket tenni, ez pedig biztosan nem maradna titokban. Másrészt pedig a felügyeleti hatóságok által jóváhagyott játékszabályzatok értelmében a Szerencsejáték Zrt. munkatársai ugyanúgy részt vehetnek a játékokban, mint bárki más. Gondoljunk csak bele: bármelyik nagy cég szervez nyereményakciót, ott rögtön kikötik, hogy a megrendelő és a szervező cég munkatársai és azok családtagjai nem vehetnek részt az akcióban. Ez nálunk fel sem merül.

Ugyancsak a tranzakciók naplózása buktatott le egy másik ügyeskedőt. Elvett a kirakott, egymást követő sorszámú segédszelvények közük 101-et, gondosan kiemelt középről egyet, a többit pedig kitöltötte. Ezután látványosan gondoskodott arról, hogy mindenki tisztában legyen vele, hogy ő éppen száz szelvénnyel játszik. A sorsolás után a félrerakott segédszelvényen behúzta a nyerő számokat, a 101-iket, az utolsót pedig eldobta, és így ment ellenőriztetni a szelvényeket. Az értékesítési partnert sikerült is megtévesztenie, aki maga telefonált nekünk, hogy valami baj lehet a rendszerrel, mert pont a nyertes szelvényt nem nyomtatta ki, pedig ő is emlékszik, hogy százat játszott meg a játékos. A rendszeradatokból aztán gyorsan kiderült, hogy valóban százat -- csak éppen azt az egyet nem, amelyik alapján reklamál.

Előfordult egyszer, hogy egy értékesítési partner megpróbálta becsapni egy állandó vevőjét, aki rendszeresen ugyanazokkal a számokkal játszott a Kenón. Jól ismerte a kuncsaftot, és tudta, hogy nyert, ezért előre készült az akcióra. Amikor a játékos behozta ellenőrzésre a szelvényeit, egy óvatlan pillanatban kicserélte a nyertes szelvényt egy másikra. A játékosnak csak otthon tűnt fel, hogy valami nem stimmel, mert az egyszerre vásárolt szelvények között van egy "kakukktojás" is, és éppen az hiányzik, amelyik nyert volna. Panaszt tett, és a rendszer logadataiból jól látszott, hogy minden úgy és akkor zajlott, ahogy ő elmondta. A rendszerben a többi között ott voltak a hiányzó, nyertes szelvény adatai is. A partner állította, hogy semmit sem tud a dologról -- csak éppen ezt felejtette ki a számításából, hogy a terminálok minden tranzakcióját is naplózzák. Abból pedig egyértelműen kiderült, hogy amikor a panaszos elment a lottózóból, a nyertes szelvényt valaki percenként átfuttatta a terminálon -- az értékesítő akart gyönyörködni a nyereményében.

Melyik a legkedvesebb története a nyertesekről vagy majdnem nyertesekről?

Talán azé az idős bácsié, aki rendszeresen hat szelvénnyel játszott, mindig ugyanazokkal a számokkal. Egyszer nem volt nála elég pénz, egy mezőt ki kellett hagynia -- természetesen azon lett volna a telitalálat. Utána azt nyilatkozta, hogy dehogy hagyja abba a lottózást, hiszen épp most kerülgeti a szerencse! Inkább arra kell figyelnie, hogy még több pénzzel játsszon, hiszen jól látszik, hogy itt van a sarkában a szerencse!

Facebook Tumblr Tweet Pinterest Tetszik
0

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://aliceesbob.blog.hu/api/trackback/id/tr112950805

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

|Z| 2011.06.02. 10:58:54

Tetszett a cikk, de ez nagyon LOL:
"a biztonsági kódot előállító algoritmus a rendszert szállító cég féltve őrzött titka"

remélem ez csak a nyilatkozó félrebeszélése, és nem az algoritmus a titkos :)
Válasz erre 
süti beállítások módosítása