A Budapesti Közlekedési Központ (BKK) bevezette az okostelefonnal megvásárolható e-jegyet és -bérletet. A nagy eseményről sajtótájékoztatón számolt be a cég, ezen szóba kerültek a bevezetést kísérő anomáliák is. Konkrétan: a vásárlók adatainak laza kezelése (személyi adatok biztonsága, illetve annak hiánya), az e-jegyek primitív módon lehetséges másolása (erre a Közlekedő Tömeg nevű csoport hívta fel a figyelmet), valamint egy etikus hacker akciója, aki a biztonsági rést kihasználva, egy egyszerű módosítás után 50 forintért vásárolt bérletet. Ő azonnal felhívta a BKK figyelmét a problémára, jelezve, hogy a bérletet nem fogja felhasználni.
Mindezeket a BKK vezérigazgatója, Dabóczi Kálmán – a rendszert gányoló T-Systems nevű kontárgyülekezettel egyetértésben – sorozatos támadásoknak minősítette, az elkövetőket pedig feljelentette. Dabóczi szerint a hibák nem hibák, és az általa webshopnak titulált értékesítési szisztéma semmivel sem gagyibb, mint más hasonlók. Az utazóközönség megnyugtatására közölte, a nyári hónapokat tesztüzemnek (!) szánták, az iskolaidőszakra minden tökéletes lesz.
Magyarán: a BKK átvett egy hibáktól hemzsegő rendszert, amelynek biztonságáért a fejlesztő a felelős. Amikor a rendszert támadás éri, és így veszélybe kerül, az ezért felelős cég sajtótájékoztató keretében kéri ki magának, hogy valaki támadni merészelt. Kissé furcsa gondolkodásmód. Az őr azért van az őrhelyén, hogy őrizze az adott objektumot. Nem dísznek. A T-Systems és Dabóczi Kálmán ezt másképp gondolja. Utóbbi egy veretes erkölcstani eszmefuttatást is beleszőtt a mondandójába: „A rendszer működik, fejlődik, a biztonsági szint pedig sokkal nagyobb, mint a kezdetekkor. Kíváncsi vagyok, ha mást támadnának be, mennyi idő alatt rogyna térdre. Tudom, hogy sokaknak fáj, hogy ez a projekt megvalósult, ilyen világban élünk.” A pocsék minőségű rendszert tehát megvétele óta javítgatják, döntően külsős észrevételek alapján. Amik bűncselekmények. Ez az izé még nem jó, de majd jó lesz. Isten bizony.
Dabóczi jókora muníciót szolgáltatott azon vélemények képviselőinek, akik szerint a főváros és cégei egy és ugyanazon bolondokháza részlegei, amelyeket az ápoltak irányítanak. A BKK vezérének és informatikus kollégáinak azonban néhány dologgal tisztában kellene lenniük. Először is, a felsorolt problémákat nem mezei állampolgároknak kellene észlelniük. Az informatikai rendszereket a bevezetés előtt tesztelni szokás, akár úgy is, hogy etikus hackereket a rendszer feltörésére biztatnak a bevezetés előtt. Így a hibák és biztonsági rések oroszlánrészére a tesztidőszakban fény derül. A tesztidőszak viszont nem azonos a bevezetés utáni időszakkal – bármit állít is Dabóczi a nyárról. A tesztidőszak abban különbözik az élestől, hogy nincs valós tranzakció. Ám jelen esetben a rendszer már megy, az értékesítés zajlik, a BKK bevétele a tét.
A hacker elvégezte a T-Systems munkájának egy részét. Ezért nem feljelentést, jutalmat érdemelne.
Civilizált helyeken ezt meg is kapná. Miután a T-Systems a hibát nem ismerte fel, erre csak úgy volt mód, hogy valaki az illető hacker által elvégzett műveletet végrehajtotta. Szakcégeknél, mint említettem, ez úgy zajlik, hogy az elkészült fejlesztést a cég „megtámadtatja” külsősökkel. A feltárt hiányosságokat orvosolják, a fejlesztőket megróják/megdicsérik, az eredményes támadókat jutalmazzák. A hazai etikus – bár kéretlen – hackerakcióval jött létre az a bizonyíték, ami a hacker igazát alátámasztotta. Másképp értelemszerűen nem hittek volna neki.
Ugyanez igaz a Közlekedő Tömeg akciójára is. 2017-ben azon szörnyülködni, hogy egy frissen induló informatikai rendszert kívülről megtámadnak (már ha igaz a hír), nevetséges. Talán kérték volna ki a „szakember” urak a rendőrség kiberbiztonsági csoportjának előzetes véleményét arról, hogy mekkora a valószínűsége, hogy a BKK-webshopot meg fogják támadni? Ezt komolyan gondolta a T-Systems? Ha igen, akkor sürgősen el kell tanácsolni őket az állami és önkormányzati megrendelések környékéről heveny, gyógyíthatatlan naivitás és alkalmatlanság miatt. Ne feledjük: a T-Mobile cégcsoport, amelynek e gyülekezet is tagja, kormányzati informatikai rendszereket üzemeltet és fejleszt. A BKK-projekt nem túlzottan ütős referencia – sem a jelenre, sem a jövőre nézve.
Dabóczi állítása pedig, miszerint a BKK webshopja is van olyan jó, mint bármely más, valamint a tárgyban elejtett egyéb pikírt megjegyzései és fenyegetőzései fényesen bizonyítják, hogy a vezérigazgató vagy nincs tisztában azzal a ténnyel, hogy a fejlesztést ilyen állapotban át sem lett volna szabad venni, vagy azt is jelenthetik, hogy a projektben léteztek fontosabb és aligha etikus szempontok is. Könnyen lehet, hogy másokat kellene feljelenteni a szóban forgó hacker és a Közlekedő Tömeg aktivistái helyett.
