Az egész ügy azzal kezdődött, hogy a BKK a T-Systems-szel együtt csinált egy webshopot, ahonnan mostantól online is lehet vásárolni, ráadásul nem papíralapú, hanem elektronikus bérleteket. Ez szimpatikus ötlet, akár még sikert is ki lehetett volna belőle hozni, ami a BKK-ra és a BKV-ra is ráfér a metrógate után.
Ehelyett most épp 1 csillagon áll az 5-ből a Facebookon a BKK, mert emberek tömegei értékelik le folyamatosan.
Az ügy úgy kezdődött, hogy a BKK maga állt ki, és kezdett panaszkodni, hogy kibertámadást (KIBERTÁMADÁST!) intéztek az új webshop ellen, többek között olyanok is, akik 50 forintért akartak bérletet venni.
Feljelentgetők
Aztán kiderült, hogy az 50 forintos ügy ennél sokkal bonyolultabb. Ha igaz, amit a 18 éves fiú elmondott, akkor az történt, hogy hibákat tesztelt az oldalon, ez ugyanis az egyik hobbija, oldalakat tesztel, aztán ír nekik, ha valami hibát talál, és rájött, hogy egy egyszerű scriptet átírva ő maga állíthatja be, mennyi pénzt fizessen a bérletért.
A fiú azt mondja, azonnal írt a BKK-nak a hibáról, ám köszönet helyett letiltották a bérletét, majd feljelentést tettek ellene. De előtte a BKK vezérigazgatója, Dabóczi Kálmán egy sértődött sajtótájékoztatót tartott arról, milyen támadások történtek a BKK új webshopja ellen. A sajtótájékoztató után egészen ijesztőnek tűnik regisztrálni a BKK-nál. Főleg úgy, hogy a fiút végül éjjel állította elő a rendőrség, ami egyébként elég szokatlan, sőt abszurd dolog.
Ha egy rendszert 150 idióta felhasználónévvel el lehet telíteni, akkor az a rendszer nem biztos, hogy megfelel az igényeknek. Ez nevetségesen alacsony szám, főleg a Budapesten BKV-t használó emberek számához képest. De még ahhoz az ötezer emberhez képest is, aki állítólag pár nap alatt bérletet vett.
Másrészt pedig honnan tudja a BKK vezérigazgatója, hogy trágár felhasználónevek vannak a rendszerben? Honnan tudja egyáltalán azt, hogy milyen felhasználónevek vannak a rendszerben? És ha én illatosafinam2017, fasz, ne adj’isten NemethSzilard, vagy más trágár néven akarok regisztrálni, milyen jogon törli azt ki a BKK?
Dabóczi azt is elmonta, hogy hatszáz támadás érkezett az oldal ellen, ami szerinte szervezett kibertámadásra utal. Ez nevetséges szám. Egyrészt ki szervezi a szervezett kibertámadást, másrészt mitől lesz az kibertámadás? Túlterheléses támadás volt talán, mindössze hatszáz eszközről? Dabóczi említette a pingelés kifejezést, szóval akár még ez is lehet, bár ezt egy közepes kisváros honlapjának is ki kellene bírnia, nemhogy a BKK webshopjának. Évi ötezer forintért ennél stabilabb webshopot lehet venni.
Ráadásul az is kiderült, hogy a BKK és a T-Systems rendszere nem hasheli, tehát nem titkosítja a felhasználóneveket, de még a jelszavakat sem. Ez iszonyú veszélyes, és nem is csak azért, mert a BKK-s webshopba be tudnak lépni helyettünk. A banki fizetésre elvileg az OTP rendszerét használja az oldal, ami biztonságos. De elég gyakori, hogy valaki ugyanazt a jelszót használja több fiókhoz, tehát ugyanúgy jelentkezik be a BKK-hoz, mint a Gmailjébe vagy a bankjához. Ilyenkor elég a titkosítatlan BKK-s jelszót előbányászni, és máris hozzáférnek az összes fiókunkhoz. Ezt ráadásul nem is hackelésnek hívják, hanem simán social engineeringnek.
És akkor azt még nem is említettük, hogy maga a közlekedési rendszer sem áll készen arra, hogy digitális bérlettel használjuk. Azt, hogy a bérlet nem másolat (akár fizikai, akár digitális), csak úgy lehetne kideríteni, hogy a QR-kódot leolvassa rajta az ellenőr, majd elkéri a személyit, amihez a bérlet szól. Ez az, amit soha nem tesznek meg az ellenőrök. Egyrészt azért, mert irreális elvárás a metró lejáratában ezt kérni tőlük, másrészt azért, mert eszközeik sincsenek hozzá.
Attól ugyanis, hogy a hibákat észrevevő felhasználókat fejlelentjük, a hibák és a kiskapuk nem fognak megszűnni. Az fog történni helyette, hogy ezek a hibák ki se derülnek, ezért mások is visszaélhetnek velük, és így nem egy 50 forintos bérletvásárlásnál, hanem egy többezres bérlethamisítási ügynél fognak kiütközni.
És ahhoz, hogy ezt az egész kellemetlenséget elkerülje a BKK tényleg elég lett volna annyi, hogy feljelentés helyett elviszik a srácot fogaskerekűzni.
(Kiemelt kép: MTI/Balogh Zoltán)
