Zavedením systému na on-line placení jízdného si budapešťská dopravní společnost BKK chtěla vylepšit image. Zřejmě i proto systém spustila narychlo, akorát včas pro mistrovství světa v plavání, které se v Budapešti koná od 14. července.
Místo toho si však BKK a všichni další, kdo se do případu zapojili, uřízli pořádnou ostudu. Systém byl totiž plný nedodělků a chyb, včetně takových, které by neudělal ani začínající vývojář nebo které by mělo odhalit i jen základní testování:
- Po registraci ukládal systém heslo v plaintextu (proč je to problém?).
- Jednoduchou editací URL v adresním řádku mohli lidé změnit účet, který si prohlížejí, a dostat se tak k citlivým datům ostatních uživatelů, a to včetně čísla občanského průkazu, pasu nebo řidičského průkazu.
- Administrátorské heslo bylo údajně „adminadmin“.
- Přestože systém měl podle BKK zajistit nemožnost lístky zkopírovat, ve skutečnosti takové kopírování nebyl problém, jak uživatelé brzy vyzkoušeli.
- CAPTCHA, která měla zabezpečit systém před robotickým vyplňováním formulářů, je ve skutečnosti díky amatérské chybě pro roboty naprosto jednoduchá, a pouze tak otravuje lidské uživatele.
I would like to congratulate the devs / ticket controllers of @bkkbudapest on the rollout of the new e-ticket system. Very secure CAPTCHA! https://t.co/TbkZKaHLwX
To všechno jsou závažné problémy, které by se u profesionálního projektu neměly vůbec objevit (dodavatelem je velká německá firma T-Systems, dceřiná společnost Deutshche Telekom). Ale ještě horší bylo, jak se s těmito problémy firma BKK pokusila vypořádat.
Zatčen za stisknutí klávesy F12
Jedním z těch, kteří nevěřícně kroutili nad nesmyslnými chybami v nové službě na nákup lístků, byl nejmenovaný 18letý mladík. Při nákupu lístku si všiml, že textové políčko s cenou nelze editovat (což je logické). Vyzkoušel tedy, co se stane, když v posledním kroku objednávky cenu upraví v prohlížeči.
K tomu stačí využít vestavěného nástroje prohlížeče (v Chromu spustíte klávesou F12), kde můžete prakticky neomezeně editovat obsah zobrazené stránky. Mladík zkusil objednat měsíční jízdenku (původně za 9 500 forintů, tedy asi 800 korun) a částku v prohlížeči přepsal na 50 forintů (necelých pět korun českých). K jeho překvapení systém objednávku přijal a po zaplacení směšné částky mu skutečně přišla měsíční jízdenka.
Mladík tento problém nahlásil na e-mailovou adresu BKK a předpokládal, že se někdo jeho objevem bude zabývat. Řada firem (včetně gigantů jako Facebook nebo Google) vývojáře povzbuzuje k tomu, aby hlásili problémy, které v jejich aplikacích a službách najdou, a vyplácejí těmto nálezcům nemalé odměny.
Místo toho se však mladík dočkal pouze e-mailu s oznámením, že jeho měsíční lístek byl zneplatněn. Jinak od BKK nic neslyšel. A chyba v systému zůstala. Do médií, která si dělala ze zpackaného systému nepokrytou legraci, ovšem firma BKK opakovaně tvrdila, že systém má pouze malé problémy a že za vše ostatní mohou hackeři a internetoví vtipálci. Na jednoho hackera prý podali trestní oznámení.
Na kterého, to samozřejmě nevíme. Ale víme, že mladíka, který pod svým vlastním jménem upozornil BKK e-mailem na chybu v jejich systému, zatkla v místě jeho bydliště zásahová jednotka maďarské policie. Byl obviněn z „neautorizovaného přístupu do cizího počítačového systému“ a po několika hodinách byl propuštěn. Vyšetřován je na svobodě.
Dodejme, že „neautorizovaný přístup“ je v tomto případě přinejmenším silné zkreslení. Neautorizovaný přístup bychom mohli přirovnat k vniknutí zloděje do zamčeného domu. Mladíkův trik bychom mohli přirovnat spíše k tomu, že si někdo v restauraci na jídelním lístku škrtne cenovku, napíše novou a pak požádá číšníka, aby mu jídlo za tuto cenu donesl. Chyba je takovém případě logicky na straně číšníka, který by neměl takový požadavek přijmout.
Nesmyslné argumenty ukazují na neschopnost přiznat chybu
Stránka BKK se dočkala desetitisíců negativních recenzí.
Mladého „hackera“ se zastala média i veřejnost. Facebookovou stránku společnosti zaplavily jednohvězdičkové recenze, které většinou kopírují (do angličtiny přeložený) text, ve kterém se anonymní „hacker“ obhajuje (vzhledem k anonymitě jsme samozřejmě nemohli ověřit autenticitu): „Je mi osmnáct let a jsem středoškolák. V pátek jsem zjistil, že mohu objednat celoměsíční jízdenku za 50 forintů, a o dvě minuty později jsem o tom informoval BKK. Mým cílem bylo pouze upozornit BKK na tento problém, aby jej mohli opravit. Neodpověděli mi, ale na tiskové konferenci to později označili za kyberútok, který nahlásili policii.“
Firma BKK po nějaké době trochu přehodnotila svou rétoriku. Mladého hackera již neoznačuje za „útočníka“. Pokusili se však zpochybnit, že chybu nahlásil, a tvrdí, že zřejmě hlášení poslal na špatnou adresu. Mladík to odmítá a své tvrzení dokládá screenshotem.
Později člen představenstva BKK označil za viníka situace dodavatele systému T-Systems. Dodavatel na oplátku říká, že neměl na výběr - jakmile mladík zneužil systém, musel chybu nahlásit. To ovšem vzhledem k velmi nízké částce i evidentní transparenci rovněž nedává smysl.
Liší se i výpovědi ohledně toho, kdo vlastně mladíka udal policii. Pokud to byla BKK, která tvrdí, že nedostala jeho e-mail, není jasné, podle čeho mladého „hackera“ našli (uvádíme v uvozovkách, protože podle redakce o hacknutí v žádném případě nešlo). Pokud mladíka nahlásila firma T-Systems, měla by vysvětlit, proč zvolila takový způsob, namísto tradičnějšího poděkování za odhalení a nahlášení chyby.
Jak nám potvrdil čtenář, který je nyní v Budapešti, systém pro nákup lístků je nyní vypnutý a nedostupný. BKK uvádí, že je to kvůli „soustavnému útoku na jejich IT infrastrukturu“. Vzhledem k povaze odhalených chyb systému, zmíněných výše, lze ale za pravděpodobné vysvětlení považovat spíše kompletní stažení stránek, ať už trvalé, nebo za účelem jejich přepracování.
Aktualizace: Do článku jsme doplnili aktuální informace.
