Több ezer felhasználó adatait lophatták el a BKK rendszeréből
Valamivel több mint egy hete startolt el a BKK online jegyértékesítő rendszere, amelyet a T-Systems üzemeltet. Most pedig 3481 felhasználó minden megadott adatát tartalmazó csomagot juttattak el a 24.hu birtokába. Az adatbázis július 16-i keltezésű, és nagyon úgy tűnik, hogy
a shop.bkk.hu-n regisztrált felhasználók teljes neve, felhasználóneve, e-mail címe, az igazolványuk típusa és száma szerepel benne.
Ez azoknak a felhasználóknak nem túl jó hír, akik a BKK július 13-án elindult online bérletvásárló rendszerébe a működésének első három napja alatt regisztráltak be.
Az online lap az adatokat - törvényi kötelezettsége szerint - átadta a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, az adatvédelmi hivatal összevetése igazolhatja majd minden kétséget kizáróan az adatok valódiságát.
A 24.hu-hoz eljuttatott adatbázis részlete:
Forrás: 24.hu
A NAIH elnöke, Péterfalvi Attila az online lapnak azt mondta, miután választ kapnak a BKK-tól, hogy milyen adatvédelmi incidens történt, azután döntik majd el, hogy vizsgálati vagy hatósági eljárást indítanak az ügyben.
- mondta Péterfalvi.
A BKK-t természetesen kereste a 24.hu kérdéseivel, többek között arra voltak kíváncsiak, hogy kell-e a regisztrált felhasználóknak aggódniuk személyes adataik védelme miatt, azonban a BKK sajtóosztálya azt nyilatozta,
csak akkor tudnak információt adni, ha lezárult a vizsgálat, amelyet a kialakult helyzet tisztázására Tarlós István főpolgármester rendelt el.
Eközben a T-Systems Magyarország kommunikációs osztálya azt közölte, folyamatosan vizsgálják a sajtóban megjelent "híreszteléseket", de "az eddigi vizsgálatok alapján jelenleg nincs tudomásunk az online jegyértékesítési rendszerrel kapcsolatos adatvédelmi incidensről; nincs tudomásunk arról, hogy bármely személy személyes adatai illetéktelenekhez juthattak volna".
Az adatbázis másik részelte - Forrás: 24.hu
Az BKK rendszerében több hibát is felfedeztek, az egyik a személyes adatok tárolása.
A 24.hu azt írja, a regisztráció után a felhasználónevet és a jelszót ugyanabban az e-mailben küldték vissza a felhasználónak (amit soha nem szabadna, hiszen így rögtön kiderül, melyik jelszóhoz melyik felhasználónév tartozik). A publikusan elérhető naplófájlokban ugyan volt egy bizonyos szintű védelem, de egy elavult MD5 (hash) módszerrel titkosították azokat.
Az így titkosított szövegeket azonban ma már viszonylag könnyen vissza lehet fejteni a megfelelő programok segítségével.
Ezenkívül feltárták, hogy a BKK jegyrendszerének adatbázisait nyilvánosan hozzáférhető könyvtárba mentették, így ezeket megszerezve könnyen visszafejthették az egyszerűbb jelszavakat. Ez azért nagyon problémás, mert sokan ugyanazt a jelszót használják mindenhol - a Facebookon, vagy a Gmailen is, tehát az e-mail és a jelszó birtokában azt is feltörhették. A harmadik hiba pedig, hogy nem ellenőrizték a kívülről bejövő adatokat, hanem csak szimplán elfogadták - ez tette lehetővé, hogy a jegyárakat manipulálni lehetett.
Forrás: 24.hu, címkép: Pixabay
