A BKK online jegyértékesítési rendszerével kapcsolatban felmerült problémák, majd a sajtótájékoztató kapcsán ismét több, az IT biztonság területén otthonosan mozgó szakértőt kerestünk meg. Névtelenül szívesen elmondták véleményüket, de mindenki hangsúlyozta, kizárólag anonim válaszokkal szolgálhat.

A nyilatkozók elmondása alapján ma Magyarországon az informatikai biztonsági piac 40-60 százalékban állami, vagy állami kapcsolódású feladatokat takar. A jelenlegi "politizált" helyzetben aki nem akar munka nélkül maradni, akkor jár el okosan, ha nem teszi kockára kapcsolatait sarkos véleményével. A fentiek tiszteletben tartásával készült írásunk.

Nem volt kész

Több szakértő egybehangzó véleménye szerint az online jegyértékesítési rendszer nemhogy publikus felhasználásra, tesztelésre sem kész állapotban került élesítésre. Olyan elemi hibák jellemezték a megoldást, amelyek eleve nem kerülhettek volna bele, elég csak a jelszavak egyszerű szövegként történő tárolására, vagy az ügyféloldali kosárérték-meghatározásra gondolni, mely a központi rendszer ellenőrzésétől mentesen (validálás nélkül) elfogadásra került.

Az általunk megkérdezett szakértők egyetértettek abban, hogy a megdöbbentő hibák ellenére jól is kijöhetett volna a BKK az esetből. Ezt lehetetlenítette el az indulás után kevesebb mint egy héttel tartott sajtótájékoztató, ahol az érintettek az újságírókat, illetve a rendszert tesztelő felhasználókat hibáztatták, saját felelősségüket nem ismerték el.

"Mintha a gyerekeimet láttam volna a mikrofon mögött - tudják hogy rosszat csináltak, azt is tudják hogy én is tudom, mégis tagadnak és egymásra mutogatnak" - nyilatkozta az egyik etikus hacker. Hozzátette, nagy különbség viszont, hogy a gyerekei nem rángatják bele a kívülállókat a vitáikba.

(forrás: Balogh Zoltán/MTI) [+]

A BKK megtehette volna, hogy kiáll a sajtó képviselői elé, elismeri hogy hibáztak és tájékoztatást ad a javítás ütemezéséről. Időszerű lett volna elindítani egy hibavadász (bug bounty) programot, még csak komoly jutalmat sem kellett volna felajánlani, havi- esetleg éves bérletekkel honorálhatta volna a segítőket. Ehelyett feljelentést tettek egy fiatalemberrel szemben, aki bizonyításképp 50 forintért vásárolt havibérletet, majd jelezte a hibát a BKK-nak, utazni pedig nem utazott a jóárasított szelvénnyel, tehát nem károsította meg a társaságot.

15 perc hírnév

Megosztotta a szakértőket az a kérdés, hogy helyesen járt-e el a 18 éves hacker, amikor bejelentette a BKK-nak a hibát, majd pár órával később az Indexnek is elküldte a levelet. A BKK rosszhiszeműséget feltételez amiatt, hogy olyan e-mail címre küldte el az üzenetet, amit technikai, úgynevezett noreply címként tartanak fent, ezért az oda érkező leveleket nem is olvassa senki. A szakértők abban egyetértenek, hogy szerencsésebb lett volna más módon is keresni a Budapesti Közlekedési Központot vagy az üzemeltetőt, de volt aki azt is megjegyezte, hogy a telefonos bejelentőket például elhajtotta a szervezet, tehát nem volt (nincs) egyszerű dolga a hibákra bukkanóknak.

Akadt olyan etikus hacker, aki szerint csak ezzel a nyilvánossággal lehetett rávenni a fejlesztőt, hogy javításokat eszközöljön, mások szerint egy ilyen fiatalt megrészegíthet a 15 perc hírnév lehetősége, főleg ha ennyire komoly biztonsági rést talál.

A tájékoztatón elhangzott, hogy a bevezetéskor is hozta az átlagos hazai webshopok színvonalát a rendszer, ami egyszerűen nem igaz, ugyanis a legtöbb webshop valamilyen publikus motort használ, melyek eleve sokkal magasabb biztonsági szintet garantálnak mind a felhasználói adatok, mind a jelszavak, de a kosarazási szisztéma tekintetében is.

A BKK elektronikus jegyrendszerének hiányosságai elvitathatatlanok, a kommunikációval és a feljelentések lebegtetésével pedig azt is sikerült elérniük, hogy ma már csak a nagyon bevállalósak mernek sebezhetőség után kutatni. Egyik érintett renoméjának sem segít az incidens, viszont az általunk megkérdezettek szerint egy ilyen fontos, sokat fizető partnerért mint a BKK, megéri a blamázs.