Luca, Ottilia
2 °C
5 °C

Több ezer ember személyes adatát lophatták el a BKK-tól

DSC0251
2017.07.25. 14:48

Több mint háromezer felhasználó személyes adatai szivárogtak ki a T-Systems és a BKK közös rendszeréből – tudta meg a 24.hu. A hírportál egy hozzá eljuttatott, felhasználói neveket, emailcímeket és igazolványszámokat tartalmazó adatbázissal igazolja, hogy az említett rendszerben súlyos biztonsági hibák voltak, amikor már élesben működött. A hanyagul kezelt adatbázis azért különösen komoly probléma, mert élő emailcímeket és jelszavakat is tartalmazott – márpedig az emberek nagy része ugyanazt a jelszót használja mindenhol, így a regisztrációnál megadott emailcíménél is. A személyi igazolvány száma szintén különösen érzékeny személyes adat, amivel vissza lehet élni.

Az adatbázist a 24.hu átadta a Nemzeti Adatvédelmi és Információbiztonsági Hatóságnak (NAIH), ahol – úgy fogalmaznak – „minden kétséget kizáróan” igazolják majd az adatok valódiságát. Péterfalvi Attila, a hivatal vezetője már hétfőn közölte velünk, hogy vizsgálatot kezdeményez az ügyben, amikor még nem volt ismert az adatbázis megléte. A 24.hu azt írja, a hivatal ezt az adatbázist is felhasználja majd a vizsgálatok során. 

Mindez azt jelenti, hogy Dabóczi Kálmán, a BKK vezérigazgatója nem mondott igazat a rendszerükben tárolt adatok biztonságáról.

A helyzet pikantériája, hogy a BKK még büszkélkedett is azzal, hány millió forintot költöttek el a regisztrált felhasználók ezen a portálon. A BKK múlt héten tagadta a biztonsági hiányosságokat, és rögtön a támadók nyakába varrta az egészet. Fel is jelentettek egy fiatalt, aki felhívta a figyelmüket egy hibára.

Utas elektronikus bérletét ellenőrzi egy jegyellenőr
Utas elektronikus bérletét ellenőrzi egy jegyellenőr
Fotó: Balogh Zoltán

A hibabejelentés módja kifogásolható, illik időt hagyni az érintett cégnek a vádak tisztázására, ugyanakkor a BKK és a T-Systems se tett meg mindent, hogy a megfelelő kezekbe kerüljenek az IT-biztonsági témájú bejelentések. Olyan emailcímen várták az IT-biztonsági jelzéseket, ahol egyébként az utasok minden egyéb panaszát kezelik.

Mint kiderült, számos hiba volt a rendszerben.

Az elmúlt héten többször is küldtünk kérdéseket a T-Systemsnek, miután a BKK arra kért minket közleményben, hogy a technikai jellegű témákat a jegyárusító rendszer üzemeltetőjével és kialakítójával vitassuk meg. Az alábbi kérdéseket tettük fel:

  • A T-Systems milyen minőségűnek tartja a rendszert?
  • Mennyi időt szántak a tesztelésére?
  • Volt-e független biztonsági auditálás?
  • Magyarországról és külföldről is érkeztek támadások?
  • Elloptak a rendszerből személyes adatokat?

Frissítés: A Telekom cikkünk megjelenése után küldött választ a megkeresésünkre, a cikk alján keretesben olvasható.

A 24.hu-nak sikerült kiderítenie, hogy a jelszavakon volt titkosítás, de elavult módszerű, könnyen visszafejthető. Ezenkívül feltárták, hogy a BKK jegyrendszerének adatbázisait nyilvánosan hozzáférhető könyvtárba mentették, és nem ellenőrizték a kívülről bejövő adatokat, ez tette lehetővé a jegyárak manipulációját.

Gyorsítósávon hajtottak

Nemrég a Hvg.hu birtokába került egy email, amely legalább részben választ ad a kérdéseinkre. A T-Systems vezérigazgatója a cégen dolgozóinak küldött köremailt, és ebből az derül ki, hogy 

fél nappal a rendszer indulása előtt kérték meg őket a szolgáltatás tesztelésére.

Magyarán a rekord 3 hónap alatt összerakott rendszer tesztelésére nem jutott túl sok idő. Utólag úgy tűnik, a T-Systems munkatársai nem tartották fontosnak azt a kérést az emailből, amelyben arra kérte őket a vezérigazgató, hogy ne pletykáljanak semmit a jegyárusító megoldásról, hiszen valahogy kiszivárgott ez az email. 

Régi szerelem

A BKK és a T-Systems közös múltja a kilencvenes évekig nyúlik vissza, az informatikai cég mostanáig nagyon sok milliárd forintnyi megrendelést – rengeteg közpénzt – nyert ennek a jó kapcsolatnak köszönhetően.

Még IQSYS néven fejlesztették ki a BKV teljes működését irányító rendszert, amely a járműveket, sofőröket és menetrendeket kezeli. Ez a rendszer sem volt soha a BKV vagy a BKK tulajdonában. Az IQSYS később betagozódott a T-Systems cégnév alá, és továbbra is szolgáltatásként biztosítja az BKK irányítórendszerét.

Ezt a helyzeti előnyüket azóta is jól kihasználják, hiszen minden más újításnak is a meglévő, általuk jól ismert rendszerhez kellett csatlakoznia. Ők integrálták be a rendszerbe a Futár külföldi beszállítóinak a rendszerét is.

A T-Systems és a BKK közös munkáját érintő problémák sem új keletűek. Emlékezetes a Bubi bérbringahálózat elindulásának több hónapos csúszása, ami miatt

a BKK akkori vezetése keményen behajtotta a kötbért a T-Systemsen.

Keményen ellenőrizni kellett a leszállított informatikai rendszert, és a szállítás határideje után még hónapokig tartó tesztelésre volt szükség ahhoz, hogy az előkerült hibákat ki tudják javítani.

Vadiúj jegyautomatákat is készített a T-Systems a BKK-nak, azokat az érintőkijelzős csilivili terminálokat, amelyek most is mindenfelé láthatók. Ezek elég jól teljesítenek, bár pár éve felmerült az is, hogy esetleg a hibái miatt törik-zúzzák szét a kijelzőiket.

A T-Systems válasza az Indexnek: 

"A T-Systems Magyarország eddig is és ezután is a lehető legkomolyabban vett és vesz minden olyan jelzést, amely adatvédelmi incidens lehetőségére utalhat, és minden ilyen jelzést haladéktanul kivizsgál. Ez igaz a sajtóban már korábban megjelent híresztelésekre is, amiket a T-Systems eddig is folyamatosan vizsgált. Az eddigi vizsgálatok alapján jelenleg nincs tudomásunk az online jegyértékesítési rendszerrel kapcsolatos bármely adatvédelmi incidensről; nincs tudomásunk arról, hogy bármely személy személyes adatai illetéktelenekhez juthattak volna. A belső vizsgálaton felül a T-Systems Magyarország a hétfőn felkérte az EY nemzetközi tanácsadó céget egy külső, független szakértői vizsgálat lefolytatására is."