Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Upozornil MHD na ostudnou chybu. Maďarská policie ho zatkla jako „hackera“

aktualizováno  14:35
Maďarský provozovatel hromadné dopravy v Budapešti zavedl nový systém pro placení lístků on-line. Narychlo spuštěné stránky však obsahovaly řadu zásadních chyb. Osmnáctiletý mladík upozornil na jednu z nich a o týden později si pro něj přišla policie. Veřejnost i odborníci kritizují jak zpackaný systém plateb, tak zřejmě nepřiměřený policejní zásah.
Ilustrační snímek

Ilustrační snímek | foto: Reuters

Zavedením systému na on-line placení jízdného si budapešťská dopravní společnost BKK chtěla vylepšit image. Zřejmě i proto systém spustila narychlo, akorát včas pro mistrovství světa v plavání, které se v Budapešti koná od 14. července.

Místo toho si však BKK a všichni další, kdo se do případu zapojili, uřízli pořádnou ostudu. Systém byl totiž plný nedodělků a chyb, včetně takových, které by neudělal ani začínající vývojář nebo které by mělo odhalit i jen základní testování:

  • Po registraci ukládal systém heslo v plaintextu (proč je to problém?).
  • Jednoduchou editací URL v adresním řádku mohli lidé změnit účet, který si prohlížejí, a dostat se tak k citlivým datům ostatních uživatelů, a to včetně čísla občanského průkazu, pasu nebo řidičského průkazu.
  • Administrátorské heslo bylo údajně „adminadmin“.
  • Přestože systém měl podle BKK zajistit nemožnost lístky zkopírovat, ve skutečnosti takové kopírování nebyl problém, jak uživatelé brzy vyzkoušeli.
  • CAPTCHA, která měla zabezpečit systém před robotickým vyplňováním formulářů, je ve skutečnosti díky amatérské chybě pro roboty naprosto jednoduchá, a pouze tak otravuje lidské uživatele.
14.července 2017 v 11:47, příspěvek archivován: 26.července 2017 v 08:49

I would like to congratulate the devs / ticket controllers of @bkkbudapest on the rollout of the new e-ticket system. Very secure CAPTCHA! https://t.co/TbkZKaHLwX

To všechno jsou závažné problémy, které by se u profesionálního projektu neměly vůbec objevit (dodavatelem je velká německá firma T-Systems, dceřiná společnost Deutshche Telekom). Ale ještě horší bylo, jak se s těmito problémy firma BKK pokusila vypořádat.

Zatčen za stisknutí klávesy F12

Jedním z těch, kteří nevěřícně kroutili nad nesmyslnými chybami v nové službě na nákup lístků, byl nejmenovaný 18letý mladík. Při nákupu lístku si všiml, že textové políčko s cenou nelze editovat (což je logické). Vyzkoušel tedy, co se stane, když v posledním kroku objednávky cenu upraví v prohlížeči.

K tomu stačí využít vestavěného nástroje prohlížeče (v Chromu spustíte klávesou F12), kde můžete prakticky neomezeně editovat obsah zobrazené stránky. Mladík zkusil objednat měsíční jízdenku (původně za 9 500 forintů, tedy asi 800 korun) a částku v prohlížeči přepsal na 50 forintů (necelých pět korun českých). K jeho překvapení systém objednávku přijal a po zaplacení směšné částky mu skutečně přišla měsíční jízdenka.

Mladík tento problém nahlásil na e-mailovou adresu BKK a předpokládal, že se někdo jeho objevem bude zabývat. Řada firem (včetně gigantů jako Facebook nebo Google) vývojáře povzbuzuje k tomu, aby hlásili problémy, které v jejich aplikacích a službách najdou, a vyplácejí těmto nálezcům nemalé odměny.

Místo toho se však mladík dočkal pouze e-mailu s oznámením, že jeho měsíční lístek byl zneplatněn. Jinak od BKK nic neslyšel. A chyba v systému zůstala. Do médií, která si dělala ze zpackaného systému nepokrytou legraci, ovšem firma BKK opakovaně tvrdila, že systém má pouze malé problémy a že za vše ostatní mohou hackeři a internetoví vtipálci. Na jednoho hackera prý podali trestní oznámení.

Na kterého, to samozřejmě nevíme. Ale víme, že mladíka, který pod svým vlastním jménem upozornil BKK e-mailem na chybu v jejich systému, zatkla v místě jeho bydliště zásahová jednotka maďarské policie. Byl obviněn z „neautorizovaného přístupu do cizího počítačového systému“ a po několika hodinách byl propuštěn. Vyšetřován je na svobodě.

Dodejme, že „neautorizovaný přístup“ je v tomto případě přinejmenším silné zkreslení. Neautorizovaný přístup bychom mohli přirovnat k vniknutí zloděje do zamčeného domu. Mladíkův trik bychom mohli přirovnat spíše k tomu, že si někdo v restauraci na jídelním lístku škrtne cenovku, napíše novou a pak požádá číšníka, aby mu jídlo za tuto cenu donesl. Chyba je takovém případě logicky na straně číšníka, který by neměl takový požadavek přijmout.

Nesmyslné argumenty ukazují na neschopnost přiznat chybu

Stránka BKK se dočkala desetitisíců negativních recenzí

Stránka BKK se dočkala desetitisíců negativních recenzí.

Mladého „hackera“ se zastala média i veřejnost. Facebookovou stránku společnosti zaplavily jednohvězdičkové recenze, které většinou kopírují (do angličtiny přeložený) text, ve kterém se anonymní „hacker“ obhajuje (vzhledem k anonymitě jsme samozřejmě nemohli ověřit autenticitu): „Je mi osmnáct let a jsem středoškolák. V pátek jsem zjistil, že mohu objednat celoměsíční jízdenku za 50 forintů, a o dvě minuty později jsem o tom informoval BKK. Mým cílem bylo pouze upozornit BKK na tento problém, aby jej mohli opravit. Neodpověděli mi, ale na tiskové konferenci to později označili za kyberútok, který nahlásili policii.“

Firma BKK po nějaké době trochu přehodnotila svou rétoriku. Mladého hackera již neoznačuje za „útočníka“. Pokusili se však zpochybnit, že chybu nahlásil, a tvrdí, že zřejmě hlášení poslal na špatnou adresu. Mladík to odmítá a své tvrzení dokládá screenshotem.

Později člen představenstva BKK označil za viníka situace dodavatele systému T-Systems. Dodavatel na oplátku říká, že neměl na výběr - jakmile mladík zneužil systém, musel chybu nahlásit. To ovšem vzhledem k velmi nízké částce i evidentní transparenci rovněž nedává smysl.

Liší se i výpovědi ohledně toho, kdo vlastně mladíka udal policii. Pokud to byla BKK, která tvrdí, že nedostala jeho e-mail, není jasné, podle čeho mladého „hackera“ našli (uvádíme v uvozovkách, protože podle redakce o hacknutí v žádném případě nešlo). Pokud mladíka nahlásila firma T-Systems, měla by vysvětlit, proč zvolila takový způsob, namísto tradičnějšího poděkování za odhalení a nahlášení chyby.

Jak nám potvrdil čtenář, který je nyní v Budapešti, systém pro nákup lístků je nyní vypnutý a nedostupný. BKK uvádí, že je to kvůli „soustavnému útoku na jejich IT infrastrukturu“. Vzhledem k povaze odhalených chyb systému, zmíněných výše, lze ale za pravděpodobné vysvětlení považovat spíše kompletní stažení stránek, ať už trvalé, nebo za účelem jejich přepracování.

Aktualizace: Do článku jsme doplnili aktuální informace.

Autor:


Nejčtenější

Zabil je výbuch ruského tanku v centru Prahy. KSČ ničila životy pozůstalým

Tanky typové řady T-54/55, ten blíž k fotografovi evidentně neschopný pohybu,...

Zatímco na pražské Vinohradské třídě hořel a vybuchoval tank, zmatení ruští vojáci na Václavském náměstí zahájili palbu...

Tento pancíř dá tankistům pocit bezpečí a jistoty. Ale bude to stačit?

SMART PROTech na tanku Leopard 2

Německá firma IBD Deisenroth Engineering (IBD) představila prototyp balistické ochrany SMART PROTech pro obrněná...



Úspěšný start. Sonda míří ke Slunci tak blízko, jako žádná předtím

Úspěšný start rakety Delta IV Heavy 12.8.2018 v 9:31 se sondou Parker Solar...

V neděli ráno se ke Slunci vydala unikátní sonda Parker Solar Probe. Měla by se přiblížit k naší hvězdě podstatně blíže...

Sulfan jako lék? V lidských buňkách možná pomáhá zvrátit stárnutí

Klíč k procesu stárnutí tkví v DNA.

Tým vědců zkoumající jednu z příčin stárnutí oznámil úspěch, a to přímo na lidských buňkách v laboratorních podmínkách....

V noci se dívejte na nebe. Perseidy předvedou pravidelnou podívanou

Perseidy (Irsko, 7. srpna 2009)

Ani letos nás prach z komety Swift-Tuttle nemine a zájemci, kteří vydrží dlouho do noci, se tak mohou těšit na...

Další z rubriky

Dejte nám bankovní údaje svých klientů, žádají banky Facebook i Google

Ilustrační snímek

Korporace se snaží přemluvit velké banky, aby jim daly přístup k některým bankovním údajům a umožnily obchodovat v...

Slavný konspirační teoretik narazil. Blokují ho Facebook, Apple i YouTube

Alex Jones

Americký komentátor Alex Jones, známý svými pořady propagujícími konspirační teorie, možná přijde o část svého dosahu....

Google vás šmíruje, i když mu to zakážete. Na webu o tom dokonce lže

Google zaznamenal Historii polohy i po jejím vypnutí v menu

Kdo nechce, aby se zaznamenávala jeho poloha, zpravidla si v zařízení se systémem Android deaktivuje ukládání Historie...

Najdete na iDNES.cz