Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Upozornil MHD na ostudnou chybu. Maďarská policie ho zatkla jako „hackera“

aktualizováno  14:35
Maďarský provozovatel hromadné dopravy v Budapešti zavedl nový systém pro placení lístků on-line. Narychlo spuštěné stránky však obsahovaly řadu zásadních chyb. Osmnáctiletý mladík upozornil na jednu z nich a o týden později si pro něj přišla policie. Veřejnost i odborníci kritizují jak zpackaný systém plateb, tak zřejmě nepřiměřený policejní zásah.
(Ilustrační snímek)

(Ilustrační snímek) | foto: Reuters

Zavedením systému na on-line placení jízdného si budapešťská dopravní společnost BKK chtěla vylepšit image. Zřejmě i proto systém spustila narychlo, akorát včas pro mistrovství světa v plavání, které se v Budapešti koná od 14. července.

Místo toho si však BKK a všichni další, kdo se do případu zapojili, uřízli pořádnou ostudu. Systém byl totiž plný nedodělků a chyb, včetně takových, které by neudělal ani začínající vývojář nebo které by mělo odhalit i jen základní testování:

  • Po registraci ukládal systém heslo v plaintextu (proč je to problém?).
  • Jednoduchou editací URL v adresním řádku mohli lidé změnit účet, který si prohlížejí, a dostat se tak k citlivým datům ostatních uživatelů, a to včetně čísla občanského průkazu, pasu nebo řidičského průkazu.
  • Administrátorské heslo bylo údajně „adminadmin“.
  • Přestože systém měl podle BKK zajistit nemožnost lístky zkopírovat, ve skutečnosti takové kopírování nebyl problém, jak uživatelé brzy vyzkoušeli.
  • CAPTCHA, která měla zabezpečit systém před robotickým vyplňováním formulářů, je ve skutečnosti díky amatérské chybě pro roboty naprosto jednoduchá, a pouze tak otravuje lidské uživatele.
14.července 2017 v 11:47, příspěvek archivován: 26.července 2017 v 08:49

I would like to congratulate the devs / ticket controllers of @bkkbudapest on the rollout of the new e-ticket system. Very secure CAPTCHA! https://t.co/TbkZKaHLwX

To všechno jsou závažné problémy, které by se u profesionálního projektu neměly vůbec objevit (dodavatelem je velká německá firma T-Systems, dceřiná společnost Deutshche Telekom). Ale ještě horší bylo, jak se s těmito problémy firma BKK pokusila vypořádat.

Zatčen za stisknutí klávesy F12

Jedním z těch, kteří nevěřícně kroutili nad nesmyslnými chybami v nové službě na nákup lístků, byl nejmenovaný 18letý mladík. Při nákupu lístku si všiml, že textové políčko s cenou nelze editovat (což je logické). Vyzkoušel tedy, co se stane, když v posledním kroku objednávky cenu upraví v prohlížeči.

K tomu stačí využít vestavěného nástroje prohlížeče (v Chromu spustíte klávesou F12), kde můžete prakticky neomezeně editovat obsah zobrazené stránky. Mladík zkusil objednat měsíční jízdenku (původně za 9 500 forintů, tedy asi 800 korun) a částku v prohlížeči přepsal na 50 forintů (necelých pět korun českých). K jeho překvapení systém objednávku přijal a po zaplacení směšné částky mu skutečně přišla měsíční jízdenka.

Mladík tento problém nahlásil na e-mailovou adresu BKK a předpokládal, že se někdo jeho objevem bude zabývat. Řada firem (včetně gigantů jako Facebook nebo Google) vývojáře povzbuzuje k tomu, aby hlásili problémy, které v jejich aplikacích a službách najdou, a vyplácejí těmto nálezcům nemalé odměny.

Místo toho se však mladík dočkal pouze e-mailu s oznámením, že jeho měsíční lístek byl zneplatněn. Jinak od BKK nic neslyšel. A chyba v systému zůstala. Do médií, která si dělala ze zpackaného systému nepokrytou legraci, ovšem firma BKK opakovaně tvrdila, že systém má pouze malé problémy a že za vše ostatní mohou hackeři a internetoví vtipálci. Na jednoho hackera prý podali trestní oznámení.

Na kterého, to samozřejmě nevíme. Ale víme, že mladíka, který pod svým vlastním jménem upozornil BKK e-mailem na chybu v jejich systému, zatkla v místě jeho bydliště zásahová jednotka maďarské policie. Byl obviněn z „neautorizovaného přístupu do cizího počítačového systému“ a po několika hodinách byl propuštěn. Vyšetřován je na svobodě.

Dodejme, že „neautorizovaný přístup“ je v tomto případě přinejmenším silné zkreslení. Neautorizovaný přístup bychom mohli přirovnat k vniknutí zloděje do zamčeného domu. Mladíkův trik bychom mohli přirovnat spíše k tomu, že si někdo v restauraci na jídelním lístku škrtne cenovku, napíše novou a pak požádá číšníka, aby mu jídlo za tuto cenu donesl. Chyba je takovém případě logicky na straně číšníka, který by neměl takový požadavek přijmout.

Nesmyslné argumenty ukazují na neschopnost přiznat chybu

Stránka BKK se dočkala desetitisíců negativních recenzí

Stránka BKK se dočkala desetitisíců negativních recenzí.

Mladého „hackera“ se zastala média i veřejnost. Facebookovou stránku společnosti zaplavily jednohvězdičkové recenze, které většinou kopírují (do angličtiny přeložený) text, ve kterém se anonymní „hacker“ obhajuje (vzhledem k anonymitě jsme samozřejmě nemohli ověřit autenticitu): „Je mi osmnáct let a jsem středoškolák. V pátek jsem zjistil, že mohu objednat celoměsíční jízdenku za 50 forintů, a o dvě minuty později jsem o tom informoval BKK. Mým cílem bylo pouze upozornit BKK na tento problém, aby jej mohli opravit. Neodpověděli mi, ale na tiskové konferenci to později označili za kyberútok, který nahlásili policii.“

Firma BKK po nějaké době trochu přehodnotila svou rétoriku. Mladého hackera již neoznačuje za „útočníka“. Pokusili se však zpochybnit, že chybu nahlásil, a tvrdí, že zřejmě hlášení poslal na špatnou adresu. Mladík to odmítá a své tvrzení dokládá screenshotem.

Později člen představenstva BKK označil za viníka situace dodavatele systému T-Systems. Dodavatel na oplátku říká, že neměl na výběr - jakmile mladík zneužil systém, musel chybu nahlásit. To ovšem vzhledem k velmi nízké částce i evidentní transparenci rovněž nedává smysl.

Liší se i výpovědi ohledně toho, kdo vlastně mladíka udal policii. Pokud to byla BKK, která tvrdí, že nedostala jeho e-mail, není jasné, podle čeho mladého „hackera“ našli (uvádíme v uvozovkách, protože podle redakce o hacknutí v žádném případě nešlo). Pokud mladíka nahlásila firma T-Systems, měla by vysvětlit, proč zvolila takový způsob, namísto tradičnějšího poděkování za odhalení a nahlášení chyby.

Jak nám potvrdil čtenář, který je nyní v Budapešti, systém pro nákup lístků je nyní vypnutý a nedostupný. BKK uvádí, že je to kvůli „soustavnému útoku na jejich IT infrastrukturu“. Vzhledem k povaze odhalených chyb systému, zmíněných výše, lze ale za pravděpodobné vysvětlení považovat spíše kompletní stažení stránek, ať už trvalé, nebo za účelem jejich přepracování.

Aktualizace: Do článku jsme doplnili aktuální informace.

Autor:



Nejčtenější

Bitcoin ztrácí. Ze 150 na 1 000 dolarů jej přitom dostal jeden člověk

(Ilustrační snímek)

Začátek třetího týdne nového roku není pro kryptoměny vůbec příznivý. Prakticky všechny ztrácejí na své hodnotě....

Odtud prý NASA vysílala falešné záběry z přistání na Měsíci

Lunar Crater

K nejbližšímu městu je to téměř 130 kilometrů. Okolo není nic než poušť a pár kusů dobytka, který se popásá na...



Prchající migy mířily na ostrov dánský. Američané jim chtěli dát letiště

MiG-15bis (s číslem 346 na přídi) na ostrově Bornholm. S letounem uprchl...

Během studené války se u Američanů vyvinula intenzivní touha po sovětských stíhačkách mig. Ne snad, že by je chtěli...

Proč na faktech nezáleží? Náš mozek panikaří a brání se cizím názorům

Souboj racionality a emocí (ilustrační foto)

Dohodnout se s tím, kdo s vámi nesouhlasí, je nesmírně těžké. Fakta budou dost možná překřičena emocionální reakcí....

Co byste měli vědět, než miliardář Musk pošle svou Teslu kolem Slunce

Tesla Roadster před uzavřením do aerodynamického krytu rakety Falcon Heavy

Elon Musk na začátku prosince překvapil oznámením, že první exemplář rakety Falcon Heavy ponese místo obvyklého závaží...

Další z rubriky

Přes Facebook Messenger se šíří kód, který tajně těží kryptoměnu

Schéma šíření automatického těžaře kryptoměny Monero Digimine.

Bezpečnostní firma Trend Micro objevila nového „těžebního“ robota označovaného jako Digimine. Na počítačích obětí se...

Horáčkův web mohl skrytě využít počítače návštěvníků k těžbě kryptoměny

Kryptoměna Monero

Webové stránky 100dni.cz, které mapují program prezidentského kandidáta Michala Horáčka po jeho případném zvolení,...

Bitcoin ztrácí. Ze 150 na 1 000 dolarů jej přitom dostal jeden člověk

(Ilustrační snímek)

Začátek třetího týdne nového roku není pro kryptoměny vůbec příznivý. Prakticky všechny ztrácejí na své hodnotě....

Najdete na iDNES.cz