Tech

Egyre több durván amatőr hibát fedeznek fel a BKK jegyvásárlási rendszerében

Dömös Zsuzsanna
Dömös Zsuzsanna

tech-újságíró. 2017. 07. 15. 16:10

Egy független szakértő szerint a BKK elektronikus jegyvételi rendszere alapvető biztonsági hibáktól hemzseg, a rosszakarók gyakorlatilag nyitott könyvből olvasnak.
Korábban a témában:

Korábban megírtuk: mostantól okostelefonra is lehet jegyet, bérletet venni Budapesten a shop.bkk.hu-n keresztül, de úgy tűnik, hogy az oldal tele van sérülékenységekkel. Az Index pénteken azt írta, értesülései szerint egy olyan durva biztonsági hiba van a rendszerben, amit kihasználva bárki annyi pénzért vehet bérletet, amennyiért akar. A lapnak független szakértők is megerősítették, hogy amatőr hiba ekkora támadási felületet hagyni egy online jegyértékesítő rendszerben. Ennek kapcsán több független informatikus is a hibák nyomába eredt a bevezetés utáni napon.

Elképesztően durva hibát találtak a BKK online rendszerében
Alapszintű hekkeléssel bárki annyi pénzért vehet bérletet, amennyiért akar.

A 24.hu-hoz egy szakértő juttatta el további észrevételeit, aki több rossz biztonsági beállításra is felfigyelt: az oldal például nyers szövegként tárolja a felhasználók jelszavait, azokat nem hasheli, ezért  a leggyakrabban használt jelszavakkal (123456, asdasd, stb.) kitartóan próbálkozva egy rosszakaró könnyen betörhet mások fiókjába.

Budapest, 2014. május 8.
Egy utas bérletet vásárol a Budapesti Közlekedési Központ (BKK) jegy- és bérletkiadó automatájánál a 4-es metró Kelenföldi vasútállomás megállójában 2014. május 8-án.
MTI Fotó: Mohai Balázs
MTI Fotó: Mohai Balázs

A bejelentkezési adatok kezelése sem biztonságos, HTTP kérés paraméterekkel továbbítódik a jelszó, ami így a felhasználó és a szerver között lévő proxy szerveren is megjelenik.

A rendszer üzemeltetői meghagyták az admin felhasználónév- adminadmin jelszó párost, sokan ezen keresztül próbálgatják a rendszert hackelni. A Tumblrön közzétett posztban is látható, hogy az egyik felhasználó erre fel is hívta az oldal figyelmét, jelezve a BKK felé: csak idő kérdése, hogy egy rosszindulatú hacker mikor lopja el ezen keresztül az összes felhasználó adatát, és kínálja fel azokat a internetes feketepiacon.

A szakértő péntek este végzett tesztje alapján egy regisztrált fiókon keresztül a profil módosításával az oldal forráskódja is szerkeszthető, és ezáltal egy tetszőleges másik felhasználó összes adata megszerezhető jelszóval együtt.

A felhasználói fiókok rossz beállításai is kihasználhatók.  Mivel az oldal előbb ellenőrzi a bejelentkezett státuszt, mint a beírt jelszót, ezért a felhasználókat végigpróbálgatva az oldalon láthatóvá válik, ki van bejelentkezve. Ha beírunk egy rossz jelszót, a rendszer e-mailben kiküldött megerősítő kódot kér be, de a kód megszerezhető a visszajövő szerverválaszból. Innentől a felhasználó 1 napig már nem kérhet új megerősítő kódot.

vissza a címlapra
  • Címkék:
  • bkk

Kommentek

Legfrissebb videó mutasd mind

Fotó: 24.hu / Bielik István
Nézd meg a legfrissebb cikkeinket a címlapon!
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.