Tech
bubi (Array)

Regisztrált a BKK közbringarendszerében? Hozzáférhettek az adataihoz!

Pintér Mónika
Pintér Mónika

techtud rovvez. 2017. 08. 02. 07:00

Újabb adatbázis érkezett szerkesztőségünkhöz, és forrásunk szerint állítása több mint 5 ezer ember adatait tartalmazza: azonosítók, telefonszámok, e-mail címek. Informátorunk szerint a Mol Bubi aktív szerződéseinek egy részéhez a BKK oldalának sérülékenysége miatt lehetett hozzáférni. Szakértők szerint ha hozzáértő a támadó, képtelenség lekövetni a nyomát. Így akár külsős ember is szimulálhatta, hogy a T-Systems Magyarország személyi állományából szivárogtattak ki adatokat.
Korábban a témában:

Újabb adatbázis került a 24.hu birtokába: ebben a forrás állítása szerint a BKK Mol Bubi közbringarendszer aktív szerződéseinek egy része található,5604 ember regisztrációs száma (ID), telefonszáma, és ha megadta, e-mail címe is.

A forrás állítása szerint a július 13-án indult, majd azóta leállított, a T-Systems Magyarország által, saját költségen új platformra kerülő BKK e-jegyrendszer hiányosságai után kezdte el vizsgálni a Budapesti Közlekedési Központ további termékeit.

Mint fogalmazott:

Tavaly óta tudok a hibáról. Kipróbáltam, hogy működik-e, de akkor adatokat nem húztam le a rendszerükből. Akkor kezdtem el foglalkozni a BKK-val megint, mikor kibuktak az e-jegyes amatőr hibák.

A forrás véleménye szerint ez esetben is kritikus minősítésű hiba volt az oldalon, ezért fért hozzá a Mol Bubi adatbázisához.

„Pont ezeket az adatokat húztam lefele, amikor a BKK lekapcsolta az oldalt, 17 óra valamikor, utána ott virít a hibaüzenet rajta.”

(Lehetséges, hogy ennek köszönhető, hogy a bkk.hu oldala lehalt, nem volt elérhető – a szerk.)

Az első könyvtárból származhatnak az adatok Forrás: 24.hu

Az újabb jelzés nyomán, a jogszabályoknak megfelelően, ismét megkerestük a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), és átadtuk az adatokat; az adatvédelmi hivatal összevetése igazolhatja majd az adatok valódiságát.

Hatósági eljárást már indíthatnék, hiszen beadvány és panasz is érkezett hozzánk azóta. Még nem döntöttem, hogy milyen vizsgálatot indítok, azzal megvárnám a BKK válaszát. A döntést az is befolyásolja, hogy milyen más adatokat kapok, illetőleg azok mennyire relevánsak

– mondta el kérdésünkre Péterfalvi Attila NAIH-elnök.

Kerestük a T-Systems Magyarországot (TSM), a kommunikációs osztály azonban az adatkezelőhöz, a BKK-hoz irányított minket. A közlekedési társaság sajtóosztálya pedig kérdéseinkre a korábban töbször közölt sablonválaszt adta, miszerint: „A helyzet tisztázására Tarlós István főpolgármester átfogó vizsgálatot rendelt el. A témával kapcsolatban a vizsgálat lezárását követően tudunk információt adni.”

Kérdéseink

  1. Mennyi ideig tart egy vizsgálat lefolytatása, a TSM belső és a külső független (EY) vizsgálatnak mikorra várható eredménye?
  2. A rendelkezésükre álló információk alapján történt adatszivárgás a TSM rendszerében, vagy a főpolgármester állítása volt helytálló, miszerint a TSM állományából valaki küldte tovább az adatokat?
  3. Bármely eset is a helytálló: mi erre a BKK eljárása, mi lesz annak a következménye, ha adatszivárgás történt, illetve mi lesz annak a következménye, ha belső ember adta ki az adatokat?
  4. A rendelkezésükre álló információk alapján az online jegyértékesítő rendszeren illetve azon kívül bármely más felületen feltártak-e hibákat? Sérülékenységi tesztet futtattak-e? Ha igen, az milyen eredménnyel zárult?

EGY APRÓ, DE VESZÉLYES KÓDHIBA

A forrás állítása szerint a BKK oldalán SQL injection volt, a programozók által gyakran elkövetett kódhibán keresztül fért hozzá a fent említett több mint 5 ezer ember adatait tartalmazó adatbázishoz.

Ördög Rafael webfejlesztő szerint 3 dolog kell egy SQL injection sérülékenységhez.

  • Beviteli mező, aminek nincs ellenőrizve a tartalma. (Erről előző cikkünkben írtunk bővebben, egyebek közt ez tette lehetővé, hogy a bérletárát tartalmazó változó értékét egy 18 éves fiatal átírhatta egy neki tetsző összegre, amit a rendszer egy az egyben elfogadott.)
  • Egy olyan SQL könyvtár, ami szintén nem ellenőrzi a bevitt adatot, vagy ha ellenőrzi, akkor ezt rosszul használták a fejlesztők.
  • A bevitt adatot használjuk egy SQL lekérdezésben.

Ha a halmazati hibák adottak, akkor vannak automatizált eszközök (lásd a lenti videót), amelyekkel egy potenciális támadó teljeskörű hozzáférést tud szerezni egy adatbázishoz, rossz esetben akár az operációs rendszer parancssorához is – azaz olyan, mintha oda ülnénk az adott géphez és jogunk lenne belépni, hozzáférni.

Ha valóban SQL injectiont találtak, az nagy baj, azzal óriási károkat lehet okozni

– mondta el Ördög Rafael, az Emarsys szakértője.

Tarlós István a több mint 3 ezer ember személyes adatait tartalmazó, korábbi adatbázis kapcsán azt mondta, az nem a rendszer feltöréséből származik, hanem szakértők szerint a BKK vagy a T-Systems Magyarország állományából „követte el” valaki, külső szivárogtatást nem tudnak kimutatni. Majd hozzátette: „a BKK munkatársai elvileg nem férhettek hozzá, szóval ez el is dőlt, hogy ki volt.” Azaz a főpolgármester szerint a T-Systemstől kerülhettek ki az adatok.

Ezzel kapcsolatban Ördög Rafael elmondta: egy SQL injection elég nagy zajt tud csapni. Sok cég úgy állítja be a szervert, hogy az az összes lekérdezést rögzítse (logolja), így egy hozzáértő szem elméletileg észreveheti a támadást, ahogy az erre kifejlesztett eszközök is ez alapján szúrják ki azt.

A bűnüldöző logika azért nem működik a kiberbiztonság terén, mert ha egy rossz szándékú támadó Tor-böngészőt használ, elbújik néhány proxy mögé, rendkívül nehéz lekövetni a nyomát. Ha valóban T-Systems-alkalmazott volt az elkövető, az is úgy el tud bújni, mintha külső ember lett volna, és ez fordítva is igaz: egy külsős ember is tudja azt szimulálni, mintha belsős munkatárs lett volna. Logok alapján ritkán lehet biztosat mondani arról, hogy kívülről vagy belülről jött a támadás. Amikor behatolnak egy rendszerbe, akkor azt nagyon nehéz lekövetni, honnan jött – feltéve, hogy hozzáértő az elkövető.

MI AZ AZ SQL?

A folyamatosan fejlesztett SQL egy relációs adatbázis típus (ez talán a legelterjedtebb), aminek szöveges parancsokat lehet küldeni, és az alapján ad vissza információkat az adatbázisból. A szakember szerint ilyen adatbázisban tárolnak személyes adatokat, illetve tranzakciós adatokat is.Megalkotásakor a cél az volt, hogy alapszintű tudással rendelkező felhasználók is tudjanak adatbázis lekéréseket végezni.

BETÖRNI ROSSZ, ÉRTEM?

Itt tesszük hozzá gyorsan, hogy egy rendszer sérülékenysége sem jogosít fel senkit arra, hogy jogosulatlanul belépjen rendszerekbe, hiszen mint korábbi cikkünkben is írtuk, ezzel bűncselekményt követ el.

Az információs rendszer vagy adat megsértése (Btk. 423. §) valósul meg akkor, ha valaki az információs rendszer védelmének „megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, vagy azt megsértve bent marad”. Ezt két évig terjedő szabadságvesztéssel büntetik.

Ugyanakkor ha a bűncselekmény célpontja közérdekű üzem, így például a közösségi közlekedési üzem, akkor a büntetés mértéke már két évtől nyolc évig terjedő szabadságvesztés is lehet. Ebben az esetben azt kell vizsgálni, hogy történt-e jogosulatlan belépés vagy bent maradás.

E bűncselekmény akkor is megvalósul, ha az elkövetőt nem hajtotta haszonszerzési cél és mindegy az érdeksérelem mértéke is. Az olyan hekker tevékenységének büntetőjogi megítélése, aki nem a rendszerüzemeltető kifejezett kérésére teszteli a rendszert, de nem is rossz szándékkal, nem egyértelmű, ugyanis a belépéssel megvalósul a bűncselekmény.Az olyan esetekben, amikor a hekkert valóban a jó szándék vezérelte, általában azért szüntetik meg a büntetőeljárást, mert nem volt bizonyítható hogy a cselekmény valóban veszélyes volt a társadalomra, amely minden bűncselekmény előfeltétele.

vissza a címlapra

Kommentek

Legfrissebb videó mutasd mind

Budapest, 2017. október 23.
Orbán Viktor miniszterelnök az 1956-os forradalom és szabadságharc emléknapján tartott állami ünnepségen a Terror Háza Múzeum előtt 2017. október 23-án.
MTI Fotó: Kovács Tamás
Nézd meg a legfrissebb cikkeinket a címlapon!
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.