Több ezer ember személyes adatát lophatták el a BKK-tól
További Tech cikkek
- Olyat hibát produkál a Windows, hogy garantáltan mindenki kiugrik a székéből
- Könnyen megeshet, hogy a Google kénytelen lesz eladni a Chrome-ot
- A Huawei hivatalosan is bejelentette, előrendelhető a Mate 70
- Lesöpörheti Elon Musk X-ét a Bluesky, már a Google is relevánsabbnak találja
- Ezek a leggyakrabban használt jelszavak – érdemes változtatni, ha ön is használja valamelyiket
Több mint háromezer felhasználó személyes adatai szivárogtak ki a T-Systems és a BKK közös rendszeréből – tudta meg a 24.hu. A hírportál egy hozzá eljuttatott, felhasználói neveket, emailcímeket és igazolványszámokat tartalmazó adatbázissal igazolja, hogy az említett rendszerben súlyos biztonsági hibák voltak, amikor már élesben működött. A hanyagul kezelt adatbázis azért különösen komoly probléma, mert élő emailcímeket és jelszavakat is tartalmazott – márpedig az emberek nagy része ugyanazt a jelszót használja mindenhol, így a regisztrációnál megadott emailcíménél is. A személyi igazolvány száma szintén különösen érzékeny személyes adat, amivel vissza lehet élni.
Az adatbázist a 24.hu átadta a Nemzeti Adatvédelmi és Információbiztonsági Hatóságnak (NAIH), ahol – úgy fogalmaznak – „minden kétséget kizáróan” igazolják majd az adatok valódiságát. Péterfalvi Attila, a hivatal vezetője már hétfőn közölte velünk, hogy vizsgálatot kezdeményez az ügyben, amikor még nem volt ismert az adatbázis megléte. A 24.hu azt írja, a hivatal ezt az adatbázist is felhasználja majd a vizsgálatok során.
A helyzet pikantériája, hogy a BKK még büszkélkedett is azzal, hány millió forintot költöttek el a regisztrált felhasználók ezen a portálon. A BKK múlt héten tagadta a biztonsági hiányosságokat, és rögtön a támadók nyakába varrta az egészet. Fel is jelentettek egy fiatalt, aki felhívta a figyelmüket egy hibára.
A hibabejelentés módja kifogásolható, illik időt hagyni az érintett cégnek a vádak tisztázására, ugyanakkor a BKK és a T-Systems se tett meg mindent, hogy a megfelelő kezekbe kerüljenek az IT-biztonsági témájú bejelentések. Olyan emailcímen várták az IT-biztonsági jelzéseket, ahol egyébként az utasok minden egyéb panaszát kezelik.
Mint kiderült, számos hiba volt a rendszerben.
- Első tesztünkben megtaláltuk a jelszókezeléssel kapcsolatos problémákat.
- Még aznap kiderült, hogy átírható a vásárlás összege (ebből lett feljelentés).
- Másnap már arról jelentek meg információk, hogy bárkinek az adatlapját meg lehet nézni a rendszerben.
- A weboldal biztonsági rétegében is sérülékenységet talált egy online eszköz.
Az elmúlt héten többször is küldtünk kérdéseket a T-Systemsnek, miután a BKK arra kért minket közleményben, hogy a technikai jellegű témákat a jegyárusító rendszer üzemeltetőjével és kialakítójával vitassuk meg. Az alábbi kérdéseket tettük fel:
- A T-Systems milyen minőségűnek tartja a rendszert?
- Mennyi időt szántak a tesztelésére?
- Volt-e független biztonsági auditálás?
- Magyarországról és külföldről is érkeztek támadások?
- Elloptak a rendszerből személyes adatokat?
Frissítés: A Telekom cikkünk megjelenése után küldött választ a megkeresésünkre, a cikk alján keretesben olvasható.
A 24.hu-nak sikerült kiderítenie, hogy a jelszavakon volt titkosítás, de elavult módszerű, könnyen visszafejthető. Ezenkívül feltárták, hogy a BKK jegyrendszerének adatbázisait nyilvánosan hozzáférhető könyvtárba mentették, és nem ellenőrizték a kívülről bejövő adatokat, ez tette lehetővé a jegyárak manipulációját.
Gyorsítósávon hajtottak
Nemrég a Hvg.hu birtokába került egy email, amely legalább részben választ ad a kérdéseinkre. A T-Systems vezérigazgatója a cégen dolgozóinak küldött köremailt, és ebből az derül ki, hogy
Magyarán a rekord 3 hónap alatt összerakott rendszer tesztelésére nem jutott túl sok idő. Utólag úgy tűnik, a T-Systems munkatársai nem tartották fontosnak azt a kérést az emailből, amelyben arra kérte őket a vezérigazgató, hogy ne pletykáljanak semmit a jegyárusító megoldásról, hiszen valahogy kiszivárgott ez az email.
Régi szerelem
A BKK és a T-Systems közös múltja a kilencvenes évekig nyúlik vissza, az informatikai cég mostanáig nagyon sok milliárd forintnyi megrendelést – rengeteg közpénzt – nyert ennek a jó kapcsolatnak köszönhetően.
Még IQSYS néven fejlesztették ki a BKV teljes működését irányító rendszert, amely a járműveket, sofőröket és menetrendeket kezeli. Ez a rendszer sem volt soha a BKV vagy a BKK tulajdonában. Az IQSYS később betagozódott a T-Systems cégnév alá, és továbbra is szolgáltatásként biztosítja az BKK irányítórendszerét.
Ezt a helyzeti előnyüket azóta is jól kihasználják, hiszen minden más újításnak is a meglévő, általuk jól ismert rendszerhez kellett csatlakoznia. Ők integrálták be a rendszerbe a Futár külföldi beszállítóinak a rendszerét is.
A T-Systems és a BKK közös munkáját érintő problémák sem új keletűek. Emlékezetes a Bubi bérbringahálózat elindulásának több hónapos csúszása, ami miatt
Keményen ellenőrizni kellett a leszállított informatikai rendszert, és a szállítás határideje után még hónapokig tartó tesztelésre volt szükség ahhoz, hogy az előkerült hibákat ki tudják javítani.
Vadiúj jegyautomatákat is készített a T-Systems a BKK-nak, azokat az érintőkijelzős csilivili terminálokat, amelyek most is mindenfelé láthatók. Ezek elég jól teljesítenek, bár pár éve felmerült az is, hogy esetleg a hibái miatt törik-zúzzák szét a kijelzőiket.
A T-Systems válasza az Indexnek:
"A T-Systems Magyarország eddig is és ezután is a lehető legkomolyabban vett és vesz minden olyan jelzést, amely adatvédelmi incidens lehetőségére utalhat, és minden ilyen jelzést haladéktanul kivizsgál. Ez igaz a sajtóban már korábban megjelent híresztelésekre is, amiket a T-Systems eddig is folyamatosan vizsgált. Az eddigi vizsgálatok alapján jelenleg nincs tudomásunk az online jegyértékesítési rendszerrel kapcsolatos bármely adatvédelmi incidensről; nincs tudomásunk arról, hogy bármely személy személyes adatai illetéktelenekhez juthattak volna. A belső vizsgálaton felül a T-Systems Magyarország a hétfőn felkérte az EY nemzetközi tanácsadó céget egy külső, független szakértői vizsgálat lefolytatására is."