Albert, Lipót
3 °C
12 °C

Meghekkelhető a BKK rendszere, bármennyiért lehet jegyet venni

2017.07.14. 16:31

Reggel teszteltük, hogy a BKK miként képzeli el a modern jegyértékesítést, és azóta is forranak a szervereink az olvasóktól érkező visszajelzésektől. Az egészben az a legkellemetlenebb, hogy a BKK értékesítési rendszerében nagyon durva biztonsági hibákat is találtak.

Egy kis alapszintű hekkeléssel annyi pénzért vehet az ember bérletet, amennyiért csak akar.

A szerver felé továbbított kérésben a kosárba rakáskor kell átírni egy számot, mert a böngésző küldi el a szervernek, hogy mennyibe kerüljön a bérlet. Aki így vesz magának bérletet, annak tisztában kell lennie azzal, hogy bűncselekményt követ el, szóval senkinek sem javasoljuk a kísérletezést. Már csak azért sem, mert ennek a fizetéskor használt bankszámlán is nyoma lesz.

Képernyőfotó 2017-07-14 - 16.21.16.png

Mi egy etikus hekkertől kaptunk bejelentést, aki azért vette meg körülbelül kétszázszor olcsóbban a havi bérletet, hogy bizonyítéka legyen a rendszerben lévő sérülékenységről. Így megalapozott érvekkel tudott figyelmeztetést küldeni a BKK-nak. Mint elmondta, nem akarja utazásra felhasználni az ily módon szerzett bérletet, pontosabban már nem is tudná, mert – feltehetően a BKK-nak írt email hatására – törölték a bérletét.

Más, független szakértőink megerősítették, hogy nagyon amatőr hiba ilyen támadási lehetőségeket hagyni egy online vásárlási rendszerben. 

Korábban mi is találtunk kisebb-nagyobb hibákat a webshopban, például hogy egyszerű szövegként küldik ki az elfelejtett jelszót, felhasználónévvel együtt. A Twitteren pedig a regisztrációkor használt Captcha rendszert szedik ízekre, amely azt hivatott ellenőrizni, hogy nem egy gép, hanem egy igazi ember végzi el a regisztrációt.

Képernyőfotó 2017-07-14 - 16.10.23.png

Megkérdeztük a BKK-t, hogy mikor és miként tervezik betömni a biztonsági réseket, de még nem kaptunk tőlük válaszokat.

Frissítés:

A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni.

- írta a BKK cikkünk megjelenése után. A vállalat közölte, hogy mindezek ellenére az első 24 óra tapasztalata alapján kijelenthető, hogy a rendszer folyamatosan működőképes, elérhető, az ügyfelek folyamatosan használják.

Az új értékesítési csatornával kapcsolatban a bevezetés napján egy darab ügyfélpanasz érkezett.

Megnyugtató a válaszukban, hogy „a rendszer már bevezetési időszak kezdetén olyan automatikus visszaélés figyelő funkcióval kezdte meg működését, amely az ilyen jellegű próbálkozásokat detektálja és azonnali intézkedésre ad lehetőséget.”

A kérdésekben szereplő konkrét esetben a rendszer jelezte a visszaélésre tett kísérletet, a BKK ezt követően azonnal kizárta annak lehetőségét, hogy a visszaélés sikeres lehessen.

A BKK vizsgálja, hogy a nem rendeltetésszerű használat az adott esetben felveti-e bűncselekmény gyanúját. A szolgáltatást nyújtó partnerrel közösen a BKK azonnali intézkedésekkel tovább növelte a rendszer biztonságát és megváltoztatta a rendszer biztonsági beállításait - írják a hozzánk eljuttatott válaszlevélben.

Köszönjük, hogy minket olvasol minden nap!

Ha szeretnél még sokáig sok ilyen, vagy még jobb cikket olvasni az Indexen, ha szeretnéd, ha még lenne független, nagy elérésű sajtó Magyarországon, amit vidéken és a határon túl is olvasnak, akkor támogasd az Indexet!

Tudj meg többet az Index támogatói kampányáról!

Milyen rendszerességgel szeretnél támogatni minket?

Mekkora összeget tudsz erre szánni?

Mekkora összeget tudsz erre szánni?