Jó a BKK új shopja, csak titkosítatlanul tárolják a jelszavakat – ezzel a felütéssel írt üzenetet lapunknak még pénteken egy informatikai biztonságban jártas szakember. A BKK nemrég indította el online jegyvásárlási szolgáltatását, amelynek segítségével akár egy okostelefonnal is lehet például havibérletet vagy épp jegyet venni a budapesti tömegközlekedés járataira. Azóta nagyon sokan, sokféle, olykor égbekiáltóan durva hibára hívták fel a figyelmet, ám a jelszótitkosítás hiánya mindenképp az egyik leggyengébb láncszemnek tűnik.
Miről is van szó pontosan? Ahhoz, hogy használni tudjuk az új BKK-szolgáltatást, egy regisztrációra van szükség, ahol egy email és jelszó megadása mellett az utazásra használt személyes okmányunk adatait is meg kell adni. És a belépésre megadott jelszó az, amelyik nincs titkosítva, s ez biztonsági szempontból azért több mint furcsa, mert ezt a módszert ma már gyakorlatilag mindenhol alkalmazzák az adatok védelme miatt. Így ugyanis illetéktelenek nehezebben tudnak hozzáférni a közösségi oldalakon, e-mailekben vagy épp internetes bankoláskor beállított jelszavainkhoz, mivel maga a szolgáltatást nyújtó vállalat sem tudja az egyes felhasználók konkrét jelszavait.
S hogy miként tudjuk egy pillanat alatt azt ellenőrizni, hogy a BKK nem titkosít, egyúttal tudja mindenki kódját? Amikor véletlenül elfelejtjük a jelszavunkat valahol, van rá mód, hogy újat kérjünk. Ilyenkor kapunk egy e-mailt, ahol – mivel a titkosítás miatt maga a szolgáltató sem tudja a felhasználó kódját – egy véletlenszerű új jelszót küldenek nekünk, vagy egy linket, amelyre rákattintva ugyanúgy egy véletlenszerű jelszóval beléphetünk az adott oldalra, és ott új jelszót írhatunk magunknak, melyet megint csak mi tudunk majd, a cég nem.
Ezzel szemben, ha a BKK-alkalmazásban (vagy a honlapon) az „elfelejtett jelszó” gombra kattintunk, olyan levelet kapunk vissza, amelyben visszaküldik az eredeti belépési kódunkat. Hogy miért kínos ez 2017-ben? Mert így, ha véletlenül ugyanaz az e-mail, a Facebook, az Instagram vagy épp a bankunk jelszava, mint amit a BKK-s fiókunknál is megadtunk, simán be tudnak oda is lépni illetéktelenek. És még az sem kell hozzá, hogy kívülről valaki feltörje a BKK adatbázisát, elég egy belső munkatárs, aki hozzá tud férni az adatokhoz, máris elkezdheti ellenőrizni azt, hogy vajon egy-egy felhasználónak ugyanaz-e az e-mail belépőkódja, mint amit a közlekedési vállalat regisztrációjához is használ. Vagy felmásolja a teljes adatbázist egy pendrive-ra és ki is hozhatja. Így pedig elég egyszerűen hozzáférhetnek érzékeny személyes információkhoz, s ez adatvédelmi szempontból is aggályos lehet.
