Tavaly ősszel a MÁV-ot is értesítették úgynevezett etikus hackerek, hogy biztonsági rést találtak a vasúttársaság e-ticket-rendszerében. A MÁV lapunkat arról tájékoztatta, hogy a „jelzést megköszönték, a hibát pedig javították”. A MÁV azt nem részletezte, hogy pontosan milyen jellegű hibát találtak a rendszerben, de az eset kísértetiesen hasonlít a BKK körül kirobbant botrányra.
Múlt héten ugyanis kiderült, feltörhető a BKK netes értékesítési rendszere, a hibát felfedező etikus hacker pedig 50 forintért vett egy bérletet. Állítása szerint jó szándékkal tette mindezt, csak tesztelni akarta a rendszert, a biztonsági rés felfedezése után pedig azonnal jelezte a problémákat a BKK-nak.
Azt nem tudni, hogy mindkét esetben ugyanaz a hacker törte-e fel a rendszert, az viszont biztos, hogy a hiba felfedezését követően, mindkét alkalommal jelezték problémát. A különbség leginkább a vállalatok reakciójában mutatkozott meg, a MÁV ugyanis nem tett feljelentést, míg a BKK rendszerét fejlesztő T-Systems igen. A vasúttársaság rendszerét egyébként a – MÁV-Start csoporthoz tartozó – MÁV Informatika Zrt. fejlesztette.
A Heti Válasz hétfőn már bemutatta azt a bejelentést, amelyet a lap állítása szerint a BKK kapott az etikus hackertől. A levél szerint a fiú feltörte már a MÁV és a Szerencsejáték Zrt. oldalát is, és így tett szert ingyen vonatjegyre, valamint közelebbről meg nem nevezett anyagi előnyökre. Lapunk megkereste a Szerencsejáték Zrt.-t is, ahol kérdéseinkre azt válaszolták, hogy ügyfélszolgálatukon keresztül 2016 nyarán kaptak jelzést egy hibáról, amely - állításuk szerint - nem érintette a fogadási rendszert. - A bejelentést megköszöntük, a hibát kivizsgáltuk és azonnal kijavítottuk. Társaságunk a bejelentést alacsony kockázatú technikai hibának minősítette, károkozás nem történt - írta a Mávéhoz igen hasonló válaszát a Szerencsejáték Zrt.
A BKK-s eset után a fiatalembert egyébként gyanúsítottként hallgatta ki a rendőrség, hétfőn emiatt szimpátiatüntetést szerveztek mellette. Az eljárás miatt azóta elnézést kért a BKK vezetője és a T-Systems is.
A tüntetés után a demonstrálók közös nyilatkozatot adtak ki, amelyben azt követelték, hogy a T-Systems álljon el a feljelentésétől, valamint a vállalat dolgozzon ki egy protokollt az etikus hackerekkel való együttműködésre, vezessen be számukra átlátható jutalmazási rendszert. Mint írták, etikus hackerként közérdekből, jobbító szándékkal hívta fel a figyelmet a rendszer sérülékenységére, mégis eljárás alá vonták. – Ilyen jelenetek csak sötét diktatúrákban és hollywoodi filmekben játszódnak le. Egy szabad és demokratikus országban ez megengedhetetlen – tették hozzá.
Kikerülhettek a shop.bkk.hu-n regisztráltak adatai
Több mint háromezer ember adatai – nevek, e-mail címek, személyiigazolvány-számok és jelszavak – kerültek a 24.hu birtokába, melyeket a portál forrása szerint a BKK új online jegyértékesítési rendszeréből szerezhettek meg. Szakemberek szerint ha valósak az adatok, akkor több súlyos biztonsági hibát is elkövettek a fejlesztők, az áldozatok pedig sérelemdíjért perelhetnek. Az adatvédelmi hivatalnál a 24.hu bejelentést tett, ott a BKK tájékoztatását várják.
