bkk
Tech

Egyre több durván amatőr hibát fedeznek fel a BKK jegyvásárlási rendszerében

Egy független szakértő szerint a BKK elektronikus jegyvételi rendszere alapvető biztonsági hibáktól hemzseg, a rosszakarók gyakorlatilag nyitott könyvből olvasnak.

Korábban megírtuk: mostantól okostelefonra is lehet jegyet, bérletet venni Budapesten a shop.bkk.hu-n keresztül, de úgy tűnik, hogy az oldal tele van sérülékenységekkel. Az Index pénteken azt írta, értesülései szerint egy olyan durva biztonsági hiba van a rendszerben, amit kihasználva bárki annyi pénzért vehet bérletet, amennyiért akar. A lapnak független szakértők is megerősítették, hogy amatőr hiba ekkora támadási felületet hagyni egy online jegyértékesítő rendszerben. Ennek kapcsán több független informatikus is a hibák nyomába eredt a bevezetés utáni napon.

Elképesztően durva hibát találtak a BKK online rendszerében
Alapszintű hekkeléssel bárki annyi pénzért vehet bérletet, amennyiért akar.

A 24.hu-hoz egy szakértő juttatta el további észrevételeit, aki több rossz biztonsági beállításra is felfigyelt: az oldal például nyers szövegként tárolja a felhasználók jelszavait, azokat nem hasheli, ezért  a leggyakrabban használt jelszavakkal (123456, asdasd, stb.) kitartóan próbálkozva egy rosszakaró könnyen betörhet mások fiókjába.

MTI Fotó: Mohai Balázs

A bejelentkezési adatok kezelése sem biztonságos, HTTP kérés paraméterekkel továbbítódik a jelszó, ami így a felhasználó és a szerver között lévő proxy szerveren is megjelenik.

A rendszer üzemeltetői meghagyták az admin felhasználónév- adminadmin jelszó párost, sokan ezen keresztül próbálgatják a rendszert hackelni. A Tumblrön közzétett posztban is látható, hogy az egyik felhasználó erre fel is hívta az oldal figyelmét, jelezve a BKK felé: csak idő kérdése, hogy egy rosszindulatú hacker mikor lopja el ezen keresztül az összes felhasználó adatát, és kínálja fel azokat a internetes feketepiacon.

A szakértő péntek este végzett tesztje alapján egy regisztrált fiókon keresztül a profil módosításával az oldal forráskódja is szerkeszthető, és ezáltal egy tetszőleges másik felhasználó összes adata megszerezhető jelszóval együtt.

A felhasználói fiókok rossz beállításai is kihasználhatók.  Mivel az oldal előbb ellenőrzi a bejelentkezett státuszt, mint a beírt jelszót, ezért a felhasználókat végigpróbálgatva az oldalon láthatóvá válik, ki van bejelentkezve. Ha beírunk egy rossz jelszót, a rendszer e-mailben kiküldött megerősítő kódot kér be, de a kód megszerezhető a visszajövő szerverválaszból. Innentől a felhasználó 1 napig már nem kérhet új megerősítő kódot.

Ajánlott videó

Nézd meg a legfrissebb cikkeinket a címlapon!
Olvasói sztorik