Meghekkelhető a BKK rendszere, bármennyiért lehet jegyet venni

Reggel teszteltük, hogy a BKK miként képzeli el a modern jegyértékesítést, és azóta is forranak a szervereink az olvasóktól érkező visszajelzésektől. Az egészben az a legkellemetlenebb, hogy a BKK értékesítési rendszerében nagyon durva biztonsági hibákat is találtak.

A szerver felé továbbított kérésben a kosárba rakáskor kell átírni egy számot, mert a böngésző küldi el a szervernek, hogy mennyibe kerüljön a bérlet. Aki így vesz magának bérletet, annak tisztában kell lennie azzal, hogy bűncselekményt követ el, szóval senkinek sem javasoljuk a kísérletezést. Már csak azért sem, mert ennek a fizetéskor használt bankszámlán is nyoma lesz.

Mi egy etikus hekkertől kaptunk bejelentést, aki azért vette meg körülbelül kétszázszor olcsóbban a havi bérletet, hogy bizonyítéka legyen a rendszerben lévő sérülékenységről. Így megalapozott érvekkel tudott figyelmeztetést küldeni a BKK-nak. Mint elmondta, nem akarja utazásra felhasználni az ily módon szerzett bérletet, pontosabban már nem is tudná, mert – feltehetően a BKK-nak írt email hatására – törölték a bérletét.

Más, független szakértőink megerősítették, hogy nagyon amatőr hiba ilyen támadási lehetőségeket hagyni egy online vásárlási rendszerben. 

Korábban mi is találtunk kisebb-nagyobb hibákat a webshopban, például hogy egyszerű szövegként küldik ki az elfelejtett jelszót, felhasználónévvel együtt. A Twitteren pedig a regisztrációkor használt Captcha rendszert szedik ízekre, amely azt hivatott ellenőrizni, hogy nem egy gép, hanem egy igazi ember végzi el a regisztrációt.

Megkérdeztük a BKK-t, hogy mikor és miként tervezik betömni a biztonsági réseket, de még nem kaptunk tőlük válaszokat.

Frissítés:

A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni.

- írta a BKK cikkünk megjelenése után. A vállalat közölte, hogy mindezek ellenére az első 24 óra tapasztalata alapján kijelenthető, hogy a rendszer folyamatosan működőképes, elérhető, az ügyfelek folyamatosan használják.

Az új értékesítési csatornával kapcsolatban a bevezetés napján egy darab ügyfélpanasz érkezett.

Megnyugtató a válaszukban, hogy „a rendszer már bevezetési időszak kezdetén olyan automatikus visszaélés figyelő funkcióval kezdte meg működését, amely az ilyen jellegű próbálkozásokat detektálja és azonnali intézkedésre ad lehetőséget.”

A kérdésekben szereplő konkrét esetben a rendszer jelezte a visszaélésre tett kísérletet, a BKK ezt követően azonnal kizárta annak lehetőségét, hogy a visszaélés sikeres lehessen.

A BKK vizsgálja, hogy a nem rendeltetésszerű használat az adott esetben felveti-e bűncselekmény gyanúját. A szolgáltatást nyújtó partnerrel közösen a BKK azonnali intézkedésekkel tovább növelte a rendszer biztonságát és megváltoztatta a rendszer biztonsági beállításait - írják a hozzánk eljuttatott válaszlevélben.