Rendkívül felháborodott sajtótájékoztatót tartott kedden a BKK, amin elővették mindazokat, akik rávilágítottak az új e-jegyes applikáció biztonsági réseire (inkább szakadékaira). Tették mindezt ahelyett, hogy elmondták volna, miért engedték ki ilyen necces formában az alkalmazást.
A sajtó figyelmét felkeltette annak az illetőnek az esete, aki a bérlet árát tudta manipulálni az appban, és sikerült 50 forintért megvennie. Őt a BKK fel is jelentette, most pedig az RTL Klub Híradója találta meg egy interjúra. A névtelenséget kérő férfi hobbiszinten foglalkozik weboldalak készítésével, hátterével.
Ezért jó szándékkal kipórbáltam, hogy működik-e ez a sebezhetőség. És miután azt tapasztaltam, hogy igen, két perccel utána jeleztem a BKK-nak a hibát, amire arra sem kaptam választ.
A BKK-nak írt levelét el is küldte az RTL-nak, ebben olvasható, hogy nem használta az 50 forintért vett bérletet, csak a cég tudomására akarta hozni a biztonsági rést. Kiderült az interjúból, hogy a férfi 300 kilométerre lakik Buidapesttől, így nem is tudta volna használni a bérletet, bár nem is akarta. Hozzátette, az ő célja csak az volt, hogy javítsanak a szolgáltatáson, és nehogy valaki féláron kezdjen bérletet árulni, kihasználva a rést.
Frissítés: reagált a BKK
Fölháborodott a BKK azon, hogy a címben etikus hekkernek neveztük az RTL által megszólaltatott férfit (aki legalábbis maga azt hiszi, etikusan járt el). Íme a BKK csütörtöki közleménye:
“A hackeléssel kapcsolatban a cikkben megjelenő információk félrevezetőek. Az a nagy mennyiségű, kívülről érkező, rendszerszintű beavatkozás, amely a rendszer ellehetetlenítését célozta meg, nem volt eredményes. Etikus hacker az, aki a megrendelő megbízásából, szerződéses viszony alapján, ellenőrzött keretek között hajt végre olyan teszteket és sérülékenységi vizsgálatokat, amelyek a rendszer biztonságos működéséhez szükségesek. Sem a BKK, sem a rendszer üzemeltetéséért felelős T-Systems Magyarország Zrt. nem etikus hackerek megbízásával ellenőrizte az online értékesítési felület informatikai biztonságát, ezért nem is beszélhetünk olyan hackerről, aki legálisan tesztelhette a rendszert. Így bárki, aki megkísérli feltörni a rendszert, vagy befolyásolni annak működését, jogellenesen jár el.”
