Понад 45 000 користувачів висловили своє невдоволення в соціальних мережах стосовно системи громадського транспорту Угорщини після того, як поліція затримала 18-річного хлопця за повідомлення про недоліки своєї нової системи електронних квитків.

14 липня BKK (Budapesti Közlekedési Központ) випустила нову систему електронних квитків на мобільних пристроях. Дата виходу була зумовлена тим, що в Будаешті в саме цей час розпочався чемпіонатів світу FINA. Система була запущена без тестування та будь-яких випробувальних тестів. Все що було відомо про систему: що вона буде онлайн, в інтернеті, тобто не потрібно буде встановлювати ніяких додатків, та працюватиме використовуючи NFC модуль смартфону.

Поява нової системи звичайно привернула увагу програмістів яким вдалося виявити наступні її недоліки:

  • Система зберігає паролі у відкритому вигляді та відишле його по електронній пошті, якщо ви попросите нагадати забутий пароль.
  • Користувачі мають можливість побачіті данні інших користувачів, для цього всього лише треба змінити урл. А у додатку взагалі не має системи управління доступом. Люди скаржилися, що вони могли отримати доступ до профілів інших користувачів.
  • Якщо ви просто вводили урл, (shop.bkk.hu), сайт просто не відкривався, тому що адміністратори просто не зробили редирект з http на https.
  • Пароль адміністратора був adminadmin, і будь хто міг увійти в систему під цим обліковим записом.
  • Звичайно ж, квитки можна було легко скопіювати, користувачі навіть виклали відео на якому можна побачити як вони 10 разів пройшли через систему контролю з копіями квитків.
  • Ну і найсмішніше - користувачі мали можливість самі встановити ціну квитка!

Остання уразливість і була знайдена 18-річним студентом, який знайшов її всього лише скориставшись засобами веб-розробника, вбудованими в браузер. Побачивши, що ціна відправляється назад на сервер в момент здійснення покупки, вин спробував її змінити. Так ціну місячного проїзного який коштує 9500 форинтів (близько 30 євро), він змінив на 50 форинтів, і отримав підтвердження про успішну покупку!

Зрозумівши яку небезпечну уразливість він знайшов він відразу ж написав по електронній пошті в ВКК, сповістивші їх про те, що у них серйозна проблема.

Як відреагували представники сервісу? У відповідь хлопець отримав емейл про те, що його проїзний анульований - і все!

На деякий час про хлопця забули, але коли про цей випадок написали в пресі, і почалися масові обговорення вразливостей нової системи, ВКК разом з T-Sytems стали терміново шукати винних. Вони стали заявляти про масовані хакерські атаки, про те, що суспільство показало себе недостатньо зрілим для такої досконалої системи, про те, що будь-яку систему можна зламати, але їх файрволи запобігли безліч атак, що користувачі використовували непристойні імена при реєстрації, які їм довелося поудалять, і тому подібне.

А один з представників T-Sytems навіть повідомив на наступний день на прес-конференції, що лист про вразливисть їх системи безумовно є незаконною спробою злому!!! На його думку, 18 юнак, "хакер", віявився настільки необачним, що сам зізнався їм про свою вдалу пробу злому в е-мейл.

Через тиждень з'явилися новини про те, як поліція заарештувала "хакера". Але через килька годин його звільнили, тому що кгорська поліція не змогла знайти достатньо доказів, щоб підтвердити цей злочин.

Що тут додати? Виявляється і в країнах з куди менш розвиненою корупцією є свої "Міранди", які також "пиляють" гроші, а замість якісного продукту поставляють не зрозумій що, ховаючи потім його недоліки за абсолютно вигаданими атаками хакерів.