Elképesztő biztonsági hiba rejlik a BKK rendszerében, valaki 50 forintért vett bérletet

A Budapesti Közlekedési Központ (BKK) csütörtökön indította el az online jegy- és bérletvásárlási felületét, amely hemzseg a biztonsági hibáktól. Az Index írja, hogy egy kis alapszíntű hackeléssel mindenki annyi pénzért vehet magának bérletet, amennyiért akar, ehhez ugyanis elég, ha kosárba tételkor a vevő átírja az árat, mert a böngésző küldi el a szervernek, hogy mennyibe kerüljön a bérlet. Egy etikus hacker 50 forintért vett magának bérletet így, másnak viszont nem ajánlott, mert bűncselekményről van szó, amelynek a bankszámla-kivonaton nyoma marad. Bevallása szerint az etikus hacker is csak azért csinálta, hogy bizonyítékkal szolgáljon az elképesztő biztonsági hibára. Szólt is a BKK-nak, ami után a bérletét törölték.

BKK-automaták. Van, ami működik, van,. ami nem
Forrás: bkk.hu

Több más rés is van a pajzson. Az online értékesítési felület a meglehetősen elavult módszerrel, CAPTCHA-val ellenőrzi, hogy valódi ember jelentkezik-e be, maga z Index is felfedezett amatőr hibát, mégpedig azt, hogy a BKK egyszerű szövegként küldi ki az elfelejtett jelszót a felhasználónévvel együtt.

A cég később közlemányt adott ki az ügyben, amelynek tanúsága szerint  sajnálattal tapasztalták, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát „folyamatos informatikai támadással” próbálják befolyásolni. „A rendszer már bevezetési időszak kezdetén olyan automatikus visszaélés figyelő funkcióval kezdte meg működését, amely az ilyen jellegű próbálkozásokat detektálja és azonnali intézkedésre ad lehetőséget” – hangsúlyozza a közlemény, amely szerint a rendszer jelezte a visszaéléseket és azonnal kizárta a lehetőséget, hogy a visszaélés sikerrel járjon.

A felületen egyelőre teljes árú és tanuló-, félhavi és havi Budapest-bérletek, 24, 72 órás és hetijegy vásárlására van lehetőség. A többi termékkel később bővítik az online felület kínálatát.