Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Upozornil MHD na ostudnou chybu. Maďarská policie ho zatkla jako „hackera“

aktualizováno  14:35
Maďarský provozovatel hromadné dopravy v Budapešti zavedl nový systém pro placení lístků on-line. Narychlo spuštěné stránky však obsahovaly řadu zásadních chyb. Osmnáctiletý mladík upozornil na jednu z nich a o týden později si pro něj přišla policie. Veřejnost i odborníci kritizují jak zpackaný systém plateb, tak zřejmě nepřiměřený policejní zásah.
(Ilustrační snímek)

(Ilustrační snímek) | foto: Reuters

Zavedením systému na on-line placení jízdného si budapešťská dopravní společnost BKK chtěla vylepšit image. Zřejmě i proto systém spustila narychlo, akorát včas pro mistrovství světa v plavání, které se v Budapešti koná od 14. července.

Místo toho si však BKK a všichni další, kdo se do případu zapojili, uřízli pořádnou ostudu. Systém byl totiž plný nedodělků a chyb, včetně takových, které by neudělal ani začínající vývojář nebo které by mělo odhalit i jen základní testování:

  • Po registraci ukládal systém heslo v plaintextu (proč je to problém?).
  • Jednoduchou editací URL v adresním řádku mohli lidé změnit účet, který si prohlížejí, a dostat se tak k citlivým datům ostatních uživatelů, a to včetně čísla občanského průkazu, pasu nebo řidičského průkazu.
  • Administrátorské heslo bylo údajně „adminadmin“.
  • Přestože systém měl podle BKK zajistit nemožnost lístky zkopírovat, ve skutečnosti takové kopírování nebyl problém, jak uživatelé brzy vyzkoušeli.
  • CAPTCHA, která měla zabezpečit systém před robotickým vyplňováním formulářů, je ve skutečnosti díky amatérské chybě pro roboty naprosto jednoduchá, a pouze tak otravuje lidské uživatele.
14.července 2017 v 11:47, příspěvek archivován: 26.července 2017 v 08:49

I would like to congratulate the devs / ticket controllers of @bkkbudapest on the rollout of the new e-ticket system. Very secure CAPTCHA! https://t.co/TbkZKaHLwX

To všechno jsou závažné problémy, které by se u profesionálního projektu neměly vůbec objevit (dodavatelem je velká německá firma T-Systems, dceřiná společnost Deutshche Telekom). Ale ještě horší bylo, jak se s těmito problémy firma BKK pokusila vypořádat.

Zatčen za stisknutí klávesy F12

Jedním z těch, kteří nevěřícně kroutili nad nesmyslnými chybami v nové službě na nákup lístků, byl nejmenovaný 18letý mladík. Při nákupu lístku si všiml, že textové políčko s cenou nelze editovat (což je logické). Vyzkoušel tedy, co se stane, když v posledním kroku objednávky cenu upraví v prohlížeči.

K tomu stačí využít vestavěného nástroje prohlížeče (v Chromu spustíte klávesou F12), kde můžete prakticky neomezeně editovat obsah zobrazené stránky. Mladík zkusil objednat měsíční jízdenku (původně za 9 500 forintů, tedy asi 800 korun) a částku v prohlížeči přepsal na 50 forintů (necelých pět korun českých). K jeho překvapení systém objednávku přijal a po zaplacení směšné částky mu skutečně přišla měsíční jízdenka.

Mladík tento problém nahlásil na e-mailovou adresu BKK a předpokládal, že se někdo jeho objevem bude zabývat. Řada firem (včetně gigantů jako Facebook nebo Google) vývojáře povzbuzuje k tomu, aby hlásili problémy, které v jejich aplikacích a službách najdou, a vyplácejí těmto nálezcům nemalé odměny.

Místo toho se však mladík dočkal pouze e-mailu s oznámením, že jeho měsíční lístek byl zneplatněn. Jinak od BKK nic neslyšel. A chyba v systému zůstala. Do médií, která si dělala ze zpackaného systému nepokrytou legraci, ovšem firma BKK opakovaně tvrdila, že systém má pouze malé problémy a že za vše ostatní mohou hackeři a internetoví vtipálci. Na jednoho hackera prý podali trestní oznámení.

Na kterého, to samozřejmě nevíme. Ale víme, že mladíka, který pod svým vlastním jménem upozornil BKK e-mailem na chybu v jejich systému, zatkla v místě jeho bydliště zásahová jednotka maďarské policie. Byl obviněn z „neautorizovaného přístupu do cizího počítačového systému“ a po několika hodinách byl propuštěn. Vyšetřován je na svobodě.

Dodejme, že „neautorizovaný přístup“ je v tomto případě přinejmenším silné zkreslení. Neautorizovaný přístup bychom mohli přirovnat k vniknutí zloděje do zamčeného domu. Mladíkův trik bychom mohli přirovnat spíše k tomu, že si někdo v restauraci na jídelním lístku škrtne cenovku, napíše novou a pak požádá číšníka, aby mu jídlo za tuto cenu donesl. Chyba je takovém případě logicky na straně číšníka, který by neměl takový požadavek přijmout.

Nesmyslné argumenty ukazují na neschopnost přiznat chybu

Stránka BKK se dočkala desetitisíců negativních recenzí

Stránka BKK se dočkala desetitisíců negativních recenzí.

Mladého „hackera“ se zastala média i veřejnost. Facebookovou stránku společnosti zaplavily jednohvězdičkové recenze, které většinou kopírují (do angličtiny přeložený) text, ve kterém se anonymní „hacker“ obhajuje (vzhledem k anonymitě jsme samozřejmě nemohli ověřit autenticitu): „Je mi osmnáct let a jsem středoškolák. V pátek jsem zjistil, že mohu objednat celoměsíční jízdenku za 50 forintů, a o dvě minuty později jsem o tom informoval BKK. Mým cílem bylo pouze upozornit BKK na tento problém, aby jej mohli opravit. Neodpověděli mi, ale na tiskové konferenci to později označili za kyberútok, který nahlásili policii.“

Firma BKK po nějaké době trochu přehodnotila svou rétoriku. Mladého hackera již neoznačuje za „útočníka“. Pokusili se však zpochybnit, že chybu nahlásil, a tvrdí, že zřejmě hlášení poslal na špatnou adresu. Mladík to odmítá a své tvrzení dokládá screenshotem.

Později člen představenstva BKK označil za viníka situace dodavatele systému T-Systems. Dodavatel na oplátku říká, že neměl na výběr - jakmile mladík zneužil systém, musel chybu nahlásit. To ovšem vzhledem k velmi nízké částce i evidentní transparenci rovněž nedává smysl.

Liší se i výpovědi ohledně toho, kdo vlastně mladíka udal policii. Pokud to byla BKK, která tvrdí, že nedostala jeho e-mail, není jasné, podle čeho mladého „hackera“ našli (uvádíme v uvozovkách, protože podle redakce o hacknutí v žádném případě nešlo). Pokud mladíka nahlásila firma T-Systems, měla by vysvětlit, proč zvolila takový způsob, namísto tradičnějšího poděkování za odhalení a nahlášení chyby.

Jak nám potvrdil čtenář, který je nyní v Budapešti, systém pro nákup lístků je nyní vypnutý a nedostupný. BKK uvádí, že je to kvůli „soustavnému útoku na jejich IT infrastrukturu“. Vzhledem k povaze odhalených chyb systému, zmíněných výše, lze ale za pravděpodobné vysvětlení považovat spíše kompletní stažení stránek, ať už trvalé, nebo za účelem jejich přepracování.

Aktualizace: Do článku jsme doplnili aktuální informace.

Autor:




Hlavní zprávy

Další z rubriky

Falešná stránka napodobující mBank
Pozor na podvodné SMS, mBanka varuje před novým útokem

Na zákazníky banky mBank cílí nový útok, který se z nich snaží vylákat přihlašovací údaje.  celý článek

Russia Files na Wikileaks.org
Wikileaks začaly zveřejňovat data o ruské firmě, která prý pomáhá špehovat

Web Wikileaks.org zveřejnil první část uniklých dat, která ukazují, jakým způsobem Ruská federace masově sleduje provoz na síti internet. První část...  celý článek

Logo Pirate Bay
Stahujete z Pirate Bay? Zpomalí vám počítač, protože tajně těží kryptoměnu

Návštěvníci stránek torrentové sítě The Pirate Bay hlásí, že stránka jejich procesor využívá k těžbě digitálních měn.  celý článek

Vyfoťte, vystavte, prodejte
Vyfoťte, vystavte, prodejte

Prodávejte jednoduše přes mobilní aplikaci Bazar eMimino.cz.

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.