2018. december 12., szerda

Gyorskeresés

Útvonal

Hírek » Café blog rovat

A BKK online értékesítési rendszere tesztelhető sem volt az élesítéskor

  • (f)
  • (p)
Írta: | | Forrás: IT café

Etikus hackereket és IT biztonsági szakértőket kérdeztünk a BKK webes jegyvásárlási megoldásáról, illetve annak kommunikációjáról.

A BKK online jegyértékesítési rendszerével kapcsolatban felmerült problémák, majd a sajtótájékoztató kapcsán ismét több, az IT biztonság területén otthonosan mozgó szakértőt kerestünk meg. Névtelenül szívesen elmondták véleményüket, de mindenki hangsúlyozta, kizárólag anonim válaszokkal szolgálhat.

A nyilatkozók elmondása alapján ma Magyarországon az informatikai biztonsági piac 40-60 százalékban állami, vagy állami kapcsolódású feladatokat takar. A jelenlegi "politizált" helyzetben aki nem akar munka nélkül maradni, akkor jár el okosan, ha nem teszi kockára kapcsolatait sarkos véleményével. A fentiek tiszteletben tartásával készült írásunk.

Hirdetés

Nem volt kész

Több szakértő egybehangzó véleménye szerint az online jegyértékesítési rendszer nemhogy publikus felhasználásra, tesztelésre sem kész állapotban került élesítésre. Olyan elemi hibák jellemezték a megoldást, amelyek eleve nem kerülhettek volna bele, elég csak a jelszavak egyszerű szövegként történő tárolására, vagy az ügyféloldali kosárérték-meghatározásra gondolni, mely a központi rendszer ellenőrzésétől mentesen (validálás nélkül) elfogadásra került.

Az általunk megkérdezett szakértők egyetértettek abban, hogy a megdöbbentő hibák ellenére jól is kijöhetett volna a BKK az esetből. Ezt lehetetlenítette el az indulás után kevesebb mint egy héttel tartott sajtótájékoztató, ahol az érintettek az újságírókat, illetve a rendszert tesztelő felhasználókat hibáztatták, saját felelősségüket nem ismerték el.

"Mintha a gyerekeimet láttam volna a mikrofon mögött - tudják hogy rosszat csináltak, azt is tudják hogy én is tudom, mégis tagadnak és egymásra mutogatnak" - nyilatkozta az egyik etikus hacker. Hozzátette, nagy különbség viszont, hogy a gyerekei nem rángatják bele a kívülállókat a vitáikba.


(forrás: Balogh Zoltán/MTI) [+]

A BKK megtehette volna, hogy kiáll a sajtó képviselői elé, elismeri hogy hibáztak és tájékoztatást ad a javítás ütemezéséről. Időszerű lett volna elindítani egy hibavadász (bug bounty) programot, még csak komoly jutalmat sem kellett volna felajánlani, havi- esetleg éves bérletekkel honorálhatta volna a segítőket. Ehelyett feljelentést tettek egy fiatalemberrel szemben, aki bizonyításképp 50 forintért vásárolt havibérletet, majd jelezte a hibát a BKK-nak, utazni pedig nem utazott a jóárasított szelvénnyel, tehát nem károsította meg a társaságot.

15 perc hírnév

Megosztotta a szakértőket az a kérdés, hogy helyesen járt-e el a 18 éves hacker, amikor bejelentette a BKK-nak a hibát, majd pár órával később az Indexnek is elküldte a levelet. A BKK rosszhiszeműséget feltételez amiatt, hogy olyan e-mail címre küldte el az üzenetet, amit technikai, úgynevezett noreply címként tartanak fent, ezért az oda érkező leveleket nem is olvassa senki. A szakértők abban egyetértenek, hogy szerencsésebb lett volna más módon is keresni a Budapesti Közlekedési Központot vagy az üzemeltetőt, de volt aki azt is megjegyezte, hogy a telefonos bejelentőket például elhajtotta a szervezet, tehát nem volt (nincs) egyszerű dolga a hibákra bukkanóknak.

Akadt olyan etikus hacker, aki szerint csak ezzel a nyilvánossággal lehetett rávenni a fejlesztőt, hogy javításokat eszközöljön, mások szerint egy ilyen fiatalt megrészegíthet a 15 perc hírnév lehetősége, főleg ha ennyire komoly biztonsági rést talál.

A tájékoztatón elhangzott, hogy a bevezetéskor is hozta az átlagos hazai webshopok színvonalát a rendszer, ami egyszerűen nem igaz, ugyanis a legtöbb webshop valamilyen publikus motort használ, melyek eleve sokkal magasabb biztonsági szintet garantálnak mind a felhasználói adatok, mind a jelszavak, de a kosarazási szisztéma tekintetében is.

A BKK elektronikus jegyrendszerének hiányosságai elvitathatatlanok, a kommunikációval és a feljelentések lebegtetésével pedig azt is sikerült elérniük, hogy ma már csak a nagyon bevállalósak mernek sebezhetőség után kutatni. Egyik érintett renoméjának sem segít az incidens, viszont az általunk megkérdezettek szerint egy ilyen fontos, sokat fizető partnerért mint a BKK, megéri a blamázs.

Hirdetés

Gyártók, szolgáltatók

Copyright © 2000-2018 PROHARDVER Informatikai Kft.