E-jegyet vett a BKK-tól? Azonnal változtasson jelszót!

Előzmény (2)

Frissebb (1)

Az e-jegynél is durvább biztonsági hibát találtunk a BKK-nál

Ötlete, vagy kérdése van?

Hétvégén súlyos biztonsági hibákat találtak szakértők a BKK online jegyeladási rendszerében, és az ismereteink alapján fennállhat a veszélye annak, hogy

akár rosszindulatú támadók is lehalászhatták az ott megtalálható jelszavakat a regisztráció során használt emailcímekkel együtt.

Hogy ez valóban megtörtént-e, nem tudjuk biztosan, de a BKK rendszere éppen elég kockázatot rejt ahhoz, hogy az ott megadott jelszót sehol máshol ne használja, és ha használta eddig, akkor változtassa meg.

Köztudott, hogy sokan ugyanazt a jelszót használják több fiókjukban, ezért fennáll a veszélye, hogy az így megismert jelszó-emailcím párosokat már mindenféle egyéb online fiókban tesztelgetik az illetéktelen támadók. Nem azok, akik a BKK-t és a rendszert kifejlesztő és működtető T-Systemst a hibára figyelmeztették, hanem azok a névtelenségben megbújó esetleges támadók, akik szintén kipróbálhatták ezeket az egyszerű behatolási módszereket.

Mint egy szakértőtől megtudtuk, pár óra alatt meg lehetett találni a rendszer gyenge pontját. A böngészőkbe beépített, teljesen legális eszközökkel módosítani lehetett a felhasználónév beviteli mezejének írásvédettségét, hogy a támadó oda más felhasználónevet tudjon beírni. Mondjuk az adminét. Ebben az esetben a támadó a felhasználó adatait megkapta, köztük az egyszerű szövegként tárolt jelszóval.

Szakértők visszajelzései alapján ezt a módszert mostanra kiküszöbölték, de ki tudja, hogy mi mást talál még ott, aki ért a digitális védelmi rendszerek kijátszásához.

Javítják, meg minden

A BKK sajtóosztálya a T-Systems felé mutogatott, hogy őket kérdezzük a rendszer működéséről, el is küldtük nekik a kérdéseinket, és őszintén kíváncsiak vagyunk rá, hogy mennyi pénzből, milyen határidővel dolgoztak, és hogy ők maguk milyen színvonalúnak találják ezt a munkát.

Azt azért megírta a BKK is, hogy a vásárlói felület továbbfejlesztésekor figyelembe veszik majd a cikkünkben is említett meglátásokat, és „az utazóközönségtől is várnak minden olyan észrevételt, amellyel a szolgáltatást kényelmesebbé, biztonságosabbá, felhasználóbarátabbá válhat”.

Akták

E-jegy a budapesti tömegközlekedésben

2019. dec 20.
Kilövésre kész a budapesti időalapú mobiljegy
De mégis Tatabányán vezették be. Az e-jegyrendszer pedig Debrecenben és Paks környékén debütál.
2019. jún 3.
Elsőként teszteltük élesben az új BKK-mobiljegyet
A regisztrációs folyamat és a vásárlás kicsit nehézkes volt a metróállomás forgalmában, de a használat gördülékeny.
2019. ápr 10.
Jövőre jön az összvonalas, egyórás BKV-jegy
Tarlós és Pintér belengette az új elektronikus jegyet, eszerint két hónap múlva már mobillal mehetünk a reptérre.