Jó a BKK új shopja, csak titkosítatlanul tárolják a jelszavakat – ezzel a felütéssel írt üzenetet lapunknak még pénteken egy informatikai biztonságban jártas szakember. A BKK nemrég indította el online jegyvásárlási szolgáltatását, amelynek segítségével akár egy okostelefonnal is lehet például havibérletet vagy épp jegyet venni a budapesti tömegközlekedés járataira. Azóta nagyon sokan, sokféle, olykor égbekiáltóan durva hibára hívták fel a figyelmet, ám a jelszótitkosítás hiánya mindenképp az egyik leggyengébb láncszemnek tűnik.

Miről is van szó pontosan? Ahhoz, hogy használni tudjuk az új BKK-szolgáltatást, egy regisztrációra van szükség, ahol egy email és jelszó megadása mellett az utazásra használt személyes okmányunk adatait is meg kell adni. És a belépésre megadott jelszó az, amelyik nincs titkosítva, s ez biztonsági szempontból azért több mint furcsa, mert ezt a módszert ma már gyakorlatilag mindenhol alkalmazzák az adatok védelme miatt. Így ugyanis illetéktelenek nehezebben tudnak hozzáférni a közösségi oldalakon, e-mailekben vagy épp internetes bankoláskor beállított jelszavainkhoz, mivel maga a szolgáltatást nyújtó vállalat sem tudja az egyes felhasználók konkrét jelszavait.

S hogy miként tudjuk egy pillanat alatt azt ellenőrizni, hogy a BKK nem titkosít, egyúttal tudja mindenki kódját? Amikor véletlenül elfelejtjük a jelszavunkat valahol, van rá mód, hogy újat kérjünk. Ilyenkor kapunk egy e-mailt, ahol – mivel a titkosítás miatt maga a szolgáltató sem tudja a felhasználó kódját – egy véletlenszerű új jelszót küldenek nekünk, vagy egy linket, amelyre rákattintva ugyanúgy egy véletlenszerű jelszóval beléphetünk az adott oldalra, és ott új jelszót írhatunk magunknak, melyet megint csak mi tudunk majd, a cég nem.

Ezzel szemben, ha a BKK-alkalmazásban (vagy a honlapon) az „elfelejtett jelszó” gombra kattintunk, olyan levelet kapunk vissza, amelyben visszaküldik az eredeti belépési kódunkat. Hogy miért kínos ez 2017-ben? Mert így, ha véletlenül ugyanaz az e-mail, a Facebook, az Instagram vagy épp a bankunk jelszava, mint amit a BKK-s fiókunknál is megadtunk, simán be tudnak oda is lépni illetéktelenek. És még az sem kell hozzá, hogy kívülről valaki feltörje a BKK adatbázisát, elég egy belső munkatárs, aki hozzá tud férni az adatokhoz, máris elkezdheti ellenőrizni azt, hogy vajon egy-egy felhasználónak ugyanaz-e az e-mail belépőkódja, mint amit a közlekedési vállalat regisztrációjához is használ. Vagy felmásolja a teljes adatbázist egy pendrive-ra és ki is hozhatja. Így pedig elég egyszerűen hozzáférhetnek érzékeny személyes információkhoz, s ez adatvédelmi szempontból is aggályos lehet.

Az ügyben megkerestük a BKK-t. A vállalat lapunknak megküldött válaszban arról írt, hogy szerintük az online értékesítési felületen regisztráltak adatai nincsenek veszélyben. „A szeptemberig tartó bevezetési időszakban a BKK azon dolgozik, hogy a tapasztalatok és a felhasználók véleménye alapján a jelenlegi rendszer továbbfejlesztésével egy még kényelmesebb elektronikus vásárlói felületet biztosítson az ügyfelek számára. Az új alkalmazás használatával kapcsolatban az első 24 órában egy panasz érkezett” – állítja a társaság. Szerintük egyébként miközben a szolgáltatás továbbra is zavartalanul működik, a munkatársak nagy erőkkel dolgoznak a felmerülő esetleges támadások kivizsgálásán. Bízunk benne, a jelszavakat is mielőbb sikerül titkosítaniuk.