Korábban megírtuk: mostantól okostelefonra is lehet jegyet, bérletet venni Budapesten a shop.bkk.hu-n keresztül, de úgy tűnik, hogy az oldal tele van sérülékenységekkel. Az Index pénteken azt írta, értesülései szerint egy olyan durva biztonsági hiba van a rendszerben, amit kihasználva A lapnak független szakértők is megerősítették, hogy amatőr hiba ekkora támadási felületet hagyni egy online jegyértékesítő rendszerben. Ennek kapcsán több független informatikus is a hibák nyomába eredt a bevezetés utáni napon.
A 24.hu-hoz egy szakértő juttatta el további észrevételeit, aki több rossz biztonsági beállításra is felfigyelt: az oldal például nyers szövegként tárolja a felhasználók jelszavait, azokat nem hasheli, ezért a leggyakrabban használt jelszavakkal (123456, asdasd, stb.) kitartóan próbálkozva egy rosszakaró könnyen betörhet mások fiókjába.
A bejelentkezési adatok kezelése sem biztonságos, HTTP kérés paraméterekkel továbbítódik a jelszó, ami így a felhasználó és a szerver között lévő proxy szerveren is megjelenik.
A rendszer üzemeltetői meghagyták az admin felhasználónév- adminadmin jelszó párost, sokan ezen keresztül próbálgatják a rendszert hackelni. A Tumblrön közzétett posztban is látható, hogy az egyik felhasználó erre fel is hívta az oldal figyelmét, jelezve a BKK felé: csak idő kérdése, hogy egy rosszindulatú hacker mikor lopja el ezen keresztül az összes felhasználó adatát, és kínálja fel azokat a internetes feketepiacon.
A szakértő péntek este végzett tesztje alapján egy regisztrált fiókon keresztül a profil módosításával az oldal forráskódja is szerkeszthető, és
A felhasználói fiókok rossz beállításai is kihasználhatók. Mivel az oldal előbb ellenőrzi a bejelentkezett státuszt, mint a beírt jelszót, ezért a felhasználókat végigpróbálgatva az oldalon láthatóvá válik, ki van bejelentkezve. Ha beírunk egy rossz jelszót, a rendszer e-mailben kiküldött megerősítő kódot kér be, de a kód megszerezhető a visszajövő szerverválaszból. Innentől a felhasználó 1 napig már nem kérhet új megerősítő kódot.
