Egyre több amatőr hibát észlelnek a BKK online jegyvásárlási rendszerében
Ahogyan arról mi is beszámoltunk, a BKK a héten elindította az online jegy- és bérletvásárlási felületet. Az Index azonban pénteken arról számolt be, hogy a rendszerben olyan durva biztonsági hibák vannak, hogy többek között egy "alapszintű hekkeléssel"
bárki annyi pénzért vehet bérletet, amennyiért csak akar.
Az Index újságírói egy etikus hekkertől kapták a bejelentést, de értesüléseiket később több más, független szakértő is megerősítette.
A BKK nem sokkal később közleményben reagált a hírekre:
- írták, majd hozzátették: "a rendszer már bevezetési időszak kezdetén olyan automatikus visszaélés figyelő funkcióval kezdte meg működését, amely az ilyen jellegű próbálkozásokat detektálja és azonnali intézkedésre ad lehetőséget."
A történet azonban itt nem ér véget, egyre több amatőr biztonsági hibáról olvasni az interneten. A 24.hu-nak is elküldte észrevételeit egy szakértő, aki több rossz biztonsági beállításra is figyelmeztetett. Többek között arra, hogy a BKK jegyvásárló rendszere nyers szövegként tárolja a felhasználók jelszavait, azokat nem "sózza", vagyis hasheli, így a leggyakoribb jelszavakkal (lásd: 123456) kitartóan próbálkozva könnyen be lehet törni mások fiókjába.
Emellett a bejelentkezési adatok kezelése sem biztonságos, a jelszót ugyanis HTTP kérés paraméterekkel továbbítják, így az a felhasználó és a szerver között lévő proxy szerveren is megjelenik.
Arra a Tumblr-en hívták fel a figyelmet, hogy a rendszer üzemeltetői meghagyták az admin felhasználónév - adminadmin jelszó párost, ami azt jelenti, hogy
egy rosszakaró az összes felhasználó összes személyes adatához könnyen hozzáférhet, illetve azokkal visszaélhet.
A hibát természetesen azonnal jelezték a BKK felé.
De ez még nem minden: a 24.hu szakértője azt is megírta, egy regisztrált fiókon keresztül a profil módosításával az oldal forráskódja is szerkeszthető, így bármelyik felhasználó összes adata megszerezhető, a jelszóval együtt.
Végezetül a jelszavak úgy is megszerezhetők, ha beírunk egy rossz jelszót, elfelejtett jelszó esetén ugyanis a rendszer által e-mailben küldött megerősítő kód is megszerezhető a visszajövő szerverválaszból.