Több ezer ember személyes adatát lophatták el a BKK-tól

Több mint háromezer felhasználó személyes adatai szivárogtak ki a T-Systems és a BKK közös rendszeréből – tudta meg a 24.hu. A hírportál egy hozzá eljuttatott, felhasználói neveket, emailcímeket és igazolványszámokat tartalmazó adatbázissal igazolja, hogy az említett rendszerben súlyos biztonsági hibák voltak, amikor már élesben működött. A hanyagul kezelt adatbázis azért különösen komoly probléma, mert élő emailcímeket és jelszavakat is tartalmazott – márpedig az emberek nagy része ugyanazt a jelszót használja mindenhol, így a regisztrációnál megadott emailcíménél is. A személyi igazolvány száma szintén különösen érzékeny személyes adat, amivel vissza lehet élni.

Az adatbázist a 24.hu átadta a Nemzeti Adatvédelmi és Információbiztonsági Hatóságnak (NAIH), ahol – úgy fogalmaznak – „minden kétséget kizáróan” igazolják majd az adatok valódiságát. Péterfalvi Attila, a hivatal vezetője már hétfőn közölte velünk, hogy vizsgálatot kezdeményez az ügyben, amikor még nem volt ismert az adatbázis megléte. A 24.hu azt írja, a hivatal ezt az adatbázist is felhasználja majd a vizsgálatok során. 

A helyzet pikantériája, hogy a BKK még büszkélkedett is azzal, hány millió forintot költöttek el a regisztrált felhasználók ezen a portálon. A BKK múlt héten tagadta a biztonsági hiányosságokat, és rögtön a támadók nyakába varrta az egészet. Fel is jelentettek egy fiatalt, aki felhívta a figyelmüket egy hibára.

A hibabejelentés módja kifogásolható, illik időt hagyni az érintett cégnek a vádak tisztázására, ugyanakkor a BKK és a T-Systems se tett meg mindent, hogy a megfelelő kezekbe kerüljenek az IT-biztonsági témájú bejelentések. Olyan emailcímen várták az IT-biztonsági jelzéseket, ahol egyébként az utasok minden egyéb panaszát kezelik.

Mint kiderült, számos hiba volt a rendszerben.

• Első tesztünkben megtaláltuk a jelszókezeléssel kapcsolatos problémákat.
• Még aznap kiderült, hogy átírható a vásárlás összege (ebből lett feljelentés).
• Másnap már arról jelentek meg információk, hogy bárkinek az adatlapját meg lehet nézni a rendszerben.
• A weboldal biztonsági rétegében is sérülékenységet talált egy online eszköz. 

Az elmúlt héten többször is küldtünk kérdéseket a T-Systemsnek, miután a BKK arra kért minket közleményben, hogy a technikai jellegű témákat a jegyárusító rendszer üzemeltetőjével és kialakítójával vitassuk meg. Az alábbi kérdéseket tettük fel:

• A T-Systems milyen minőségűnek tartja a rendszert?
• Mennyi időt szántak a tesztelésére?
• Volt-e független biztonsági auditálás?
• Magyarországról és külföldről is érkeztek támadások?
• Elloptak a rendszerből személyes adatokat?

Frissítés: A Telekom cikkünk megjelenése után küldött választ a megkeresésünkre, a cikk alján keretesben olvasható.

A 24.hu-nak sikerült kiderítenie, hogy a jelszavakon volt titkosítás, de elavult módszerű, könnyen visszafejthető. Ezenkívül feltárták, hogy a BKK jegyrendszerének adatbázisait nyilvánosan hozzáférhető könyvtárba mentették, és nem ellenőrizték a kívülről bejövő adatokat, ez tette lehetővé a jegyárak manipulációját.

Gyorsítósávon hajtottak

Nemrég a Hvg.hu birtokába került egy email, amely legalább részben választ ad a kérdéseinkre. A T-Systems vezérigazgatója a cégen dolgozóinak küldött köremailt, és ebből az derül ki, hogy 

Magyarán a rekord 3 hónap alatt összerakott rendszer tesztelésére nem jutott túl sok idő. Utólag úgy tűnik, a T-Systems munkatársai nem tartották fontosnak azt a kérést az emailből, amelyben arra kérte őket a vezérigazgató, hogy ne pletykáljanak semmit a jegyárusító megoldásról, hiszen valahogy kiszivárgott ez az email. 

Régi szerelem

A BKK és a T-Systems közös múltja a kilencvenes évekig nyúlik vissza, az informatikai cég mostanáig nagyon sok milliárd forintnyi megrendelést – rengeteg közpénzt – nyert ennek a jó kapcsolatnak köszönhetően.

Még IQSYS néven fejlesztették ki a BKV teljes működését irányító rendszert, amely a járműveket, sofőröket és menetrendeket kezeli. Ez a rendszer sem volt soha a BKV vagy a BKK tulajdonában. Az IQSYS később betagozódott a T-Systems cégnév alá, és továbbra is szolgáltatásként biztosítja az BKK irányítórendszerét.

Ezt a helyzeti előnyüket azóta is jól kihasználják, hiszen minden más újításnak is a meglévő, általuk jól ismert rendszerhez kellett csatlakoznia. Ők integrálták be a rendszerbe a Futár külföldi beszállítóinak a rendszerét is.

A T-Systems és a BKK közös munkáját érintő problémák sem új keletűek. Emlékezetes a Bubi bérbringahálózat elindulásának több hónapos csúszása, ami miatt

Keményen ellenőrizni kellett a leszállított informatikai rendszert, és a szállítás határideje után még hónapokig tartó tesztelésre volt szükség ahhoz, hogy az előkerült hibákat ki tudják javítani.

Vadiúj jegyautomatákat is készített a T-Systems a BKK-nak, azokat az érintőkijelzős csilivili terminálokat, amelyek most is mindenfelé láthatók. Ezek elég jól teljesítenek, bár pár éve felmerült az is, hogy esetleg a hibái miatt törik-zúzzák szét a kijelzőiket.