Ezer sebből vérzik a BKK webbérlete, a cég arroganciája ront a helyzeten

Megjelent a web bérlet megoldás, a BKK látszólag felzárkózott a MÁVhoz. Vagy mégsem teljesen. Hiszen például az útvonal tervezés és a jegyvásárlás nincs összekapcsolva. Ha pedig adott útvonalra, időpontra szóló jegyeket vehetnénk, és az ellenőr látná "volt-e már az máshol ellenőrizve" és mondjuk névre szóló lenne, akkor nem lenne gond. Ellenben a BKK féle megoldásnak van számos életveszélyes hibája. Például az, hogy egy adatszivárgásnál olyan személyes adatot is visszaadnak amivel könnyű visszaélni. Ugyanis ahol csak kép van az igazolványról (pl. fénymásolat) ott "képről is készülhet kép" és volt már példa ilyen csalásra. A sokszor sok helyen elérhető adatok (név, születési dátum) viszont a MÁVnál is elegendő azonosítást jelentenek. És az első nap meglett az adatszivárgás.

Az igazság az, hogy ugyanez az okmányazonosító lehetne egy olyan "jelszóként" kezelve amit mindig az ellenőr visz be. Szóval lehetne ez is hashként tárolni, nem kiírni, tökéletesen megvédeni De mivel a jelszót sem védi meg a rendszer tudjuk: nem így történt. Kiolvasható, kimásolható és visszaélésre alkalmas. A megjelenést a vizes VBre időzítették amikor viszonylag sok turista (belföldi és külföldi) használ kódolatlan ingyenwifit. A rendszer pedig ezt az adatot sokszor kiírja. A személyiséglopás hatalmas üzlet és itt plusz információk kerülnek elő. 

Az Index is írt róla, komoly hír, de elfelejtették, hogy a személyes adatok nem elvárható biztonságú tárolása jogsértés. Persze nem csak más személyes adatát lehet nézni. Az átírt árról is volt már szó, de a plaintext jelszóról is. Szóval arról, hogy a rendszer torka is véres. Az ember felteszi a kérdést: csak e-mailben kapjuk meg a jelszót? A válaszom nem. Ha a saját adatainkat szerkesztjük akkor bizony a formon a jelszó értéke a jelenlegi jelszóval van kitöltve, nem csak csak valami helykitöltő van ott. Azaz az eddig nyilvánosságra került hibák kombinációja elegendő lehet az összes adat ellopásához, aki ugyanazt a jelszót máshol is használta az jobban teszi, ha már most változtat rajta, mert szinte biztos, hogy sok jelszó kikerült a rendszerből. 

Ugye értjük, hogy ez mit jelent? Amikor az ismert probléma alapján más láthatja az adatainkat a szerkesztő felületen, a jelenlegi jelszó akkor is ott van az oldalon. Sejtjük, más jelenlegi jelszava. És sejtjük sok ember ugyanazt a jelszót máshol is használja. Arra nem térek ki, hogy az admin jelszó megszerzése mire lehet elegendő. De másra igen. Hiszen valódi katasztrófa ha innen bárhol máshol van számottevő kockázat.

A rendszer következő gyenge pontját könnyű megtalálni. Én az https://www.ssllabs.com/ssltest/analyze.html?d=shop.bkk.hu oldalon figyeltem meg. Ez egy olyan toolkit ami azt ellenőrzi egy adott oldalon mennyire biztonságos az SSL. És lőn csoda sebezhetőséget is találtunk, de kisebb gyengeségeket is. De nézzük meg másik ellenőrző eszközzel. A https://cryptoreport.websecurity.symantec.com/checker/ a barátunk... A DROWN támadás mellett a BEAST ellen is sebezhető a rendszer. Nyilván több más hétköznapi megoldás is segítene felderíteni a hibát, de úgy látszik a rendszer üzemeltetői a legalapvetőbb lépéseket sem tették meg. De lépjünk tovább.

És az igazság az, hogyha bármikor látsz figyelmeztetést bármely nem biztonságos elemre, és megszokod a figyelmeztetések kikapcsolását az sem tesz jót. És ismétlem: A tömegek a vizes VB alatt nem éppen biztonságos hálózatokból, nem éppen biztonságos módon használnak egy olyan rendszert amiben a fenti problémák a jéghegy csúcsát jelentik. 

Az egyik hibát jelentő etikus hacker kapcsán a BKK azzal reagált, hogy megvizsgálják történt-e bűncselekmény. Segítek:A bűncselekménynek veszélyesnek kellene lennie a társadalomra. A hibákat, a többiek biztonsága érdekében jelezni nem ez. Az viszont igen, hogy a felhasználók adatait nem biztonságosan tárolják és hasonló fenyegetőzéssel, hasonló arroganciákkal nehezítik meg a hibák jelzését. A kérdésnek utána nézve hamar hallunk a "kinek a kicsodája" felel ezért a baklövésért jellegű pletykákat.