Csaknem négyezer felhasználó adatai szivároghattak ki a BKK online jegyvásárlási rendszeréből

A hekkereknek elég volt rendeltetésszerűen használni egy régebbi böngészőt.

2017. július 25., 16:58

Szerző:

Kedd délután cikkben jelentette be a 24.hu, hogy a birtokában van egy adatbázis, amely minden adatát tartalmazza 3481 olyan felhasználónak, aki regisztrált a Budapesti közlekedési Központ online jegyvásárlási rendszerében. A https://shop.bkk.hu oldalon megadott adatok között szerepel a teljes név, a felhasználónév, az e-mail-cím, az igazolvány típusa és száma is. Törvényi kötelességének megfelelően a portál az adatbázist átadta a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH), amelynek a nevében Péterfalvi Attila elnök elmondta, az adatbázist bevonják abba az adatvédelmi vizsgálatba, amelyet az ügyben indítottak el.

Fotó: MTI / Balogh Zoltán

Az, hogy a BKK online jegyvásárlási rendszerével nincs minden rendben, már az indulás napján kiderült, egy 18 éves fiúnak ugyanis sikerült bérletet vennie tízezer helyett mindössze ötven forintért. Emiatt a fiút feljelentették és gyanúsítottként kihallgatták, de, ahogyan az Index megírta, másvalaki felfedezett egy olyan biztonsági rést, amelyen keresztül felhasználók minden adatához hozzá lehetett férni. A biztonsági rendszer felfedezéséhez elég egy régebbi böngésző: „Rendeltetésszerű használat mellett a rendszer egyszer csak kiköpte az admin adatait” – írta erről egy felhasználó.

A 24.hu az ügyben megkereste a BKK-t, többek között azt firtatva, hogy hány támadás érte a rendszert az indulás, július 14. óta, ebből hány járt sikerrel, történt-e adatvesztés, szivároghattak-e ki felhasználói adatok és hogy jelenleg milyen védelemmel van ellátva a rendszer. Ezekre a kérdésekre a BKK egyelőre egy szűkszavú válaszban reagált: „Az online értékesítési rendszer bevezetése alatt kialakult helyzet tisztázására Tarlós István főpolgármester átfogó vizsgálatot rendelt el.  A témával kapcsolatban információt a vizsgálat lezárása után tudunk adni.”