Tekla
9 °C
16 °C

Bárki feltörheti a BKK elektromos jegyvásárló rendszerét

2017.07.15. 13:05

A BKK nem kevés csúszás és kínlódás után, pont a vizes vb-re időzítve vezette be cseppet sem felhasználóbarát e-jegyrendszerét, aminek eredményeképpen a turisták útlevéllel és mobilételefonnal, a budapestiek minimum személyivel és mobillal kell, hogy igazolják magukat, ha ilyen úri huncutságra vetemednek, mármint a 2017-ben itthon még mindig a kétfejű birkecs egzotikumához fogható internetes jegyvásárláshoz. Már ha sikerrel járnak, mert ahogy az kiderült az éles tesztelés alatt, nem minden telefonon működik a rendszer az alapbeállításokkal.  

Aztán ahogy rászabadultak a felhasználók a szolgáltatásra, úgy kezdett el recsegni ropogni a sebtében összeeszkábált rendszer. Az egyik felhasználó például egy rém egyszerű trükkel 50 forintért vett magának bérletet, de csak azért ilyen drágán, mer nem volt pofája egy forintot beírni a kódba. Azonnal jelezte a BKK-nak hogy a rendszer nem hibátlan, ahogy mások is: az Index például arra bukkant rá, hogy egyszerű szövegként küldik ki az elfelejtett jelszót, felhasználónévvel együtt. A Twitteren a regisztrációkor használt Captcha rendszert szedik ízekre, amely azt hivatott ellenőrizni, hogy nem egy gép, hanem egy igazi ember végzi el a regisztrációt.

A BKK természetesen nem megköszönte a jelzéseket, hanem sértetten azzal vágott vissza, hogy 

A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni.

Ami persze jól hangzik, meg minden, csak éppen nem igaz, mert azok a módszerek, amiket a felhasználók használtak, kimerültek a böngésző címsorában látható kódban elvégzett módosításokban, illetve nem mi hekkeltük meg a rendszert, hogy a jelszavunkat sima szövegfile-ban küldje ki, hanem a fejlesztő volt annyira hanyag és felelőtlen, hogy ilyen elképesztő baklövést kövessen el. És akkor még nem is tudtuk, hogy a baj ennél sokkal súlyosabb.

tumblr ot3jynhda01qzxh5co1 1280-2

Tumblren írta egy júzer, hogy egy olyan biztonsági résre akadt, amire bárki rábukkanhat, nem kell hozzá programozói tudás, csak egy régebbi böngésző, és máris be lehet lépni bárkinek a fiókjába, ahonnan a személyes adatokat simán ki lehet szedni. A BKK kedvéért: copy-paste, azaz másolásos módszerrel, de működik a toll és papír, sőt, a screensot készítés is. Ameddig az ilyen szintű biztonsági hibákat nem javítják ki, a rendszert mindenki csak a saját felelősségére használja. 

UPDATE: egy olvasónk jelezte, hogy a BKK nem tud a legutóbbi biztonsági hibáról, de most már jegyzőkönyvezték a panaszt, és 30 napon belül válaszolnak rá. Ez azért érdekes, mert a fentieket a Facebookon egy zárt csoportban közzétevő felhasználó többször telefonált a BKK-nak, és igyekezet jelezni nekik, hogy gáz van, de "elhajtották" és ezt követően, este kilenc után, kétségbeesésben kért segítséget az általa ismert szakmai fórumokon. 

ÚJABB UPDATE: Egy másik olvasónk azt jelezte, hogy nem tudja törölni a rendszerből a fiókját, vagy a személyi okmányának adatait.