Dopravní podnik v Budapešti uvedl online platební bránu ve „velkém stylu"
Zdroj: BKK/Facebook
Budapešťský dopravní podnik se rozhodl vstoupit do 21. století a uvést online platební bránu za pomoci společnosti T-Systems Hungary. Systém, který se tvořil celkem 3 měsíce, měl být připraven ke spuštění před začátkem mistrovství světa v plavání, jež se právě v Budapešti odehrává. Jak už se ale v softwarových projektech stává, systém měl v sobě spoustu much a zdaleka nebyl v takové kondici, aby byl připraven ke spuštění. Mezi první náznaky patřil fakt, že do vstupu do administrace bylo nastaveno heslo „adminadmin“. Tímto ale celý příběh teprve začíná.
Psal se 14. červenec 2017 a neznámý 18letý chlapec poslal email na dopravní podnik, že našel díru v jejich systému. Tato chyba umožňovala každému s alespoň základní znalostí webových prohlížečů nastavit jakoukoliv cenu za jakýkoliv tiket. Klinutím na F12 mohl „hacker“ jednoduše změnit cenu měsíčního kuponu z 9 500 forintů (cca 800 korun) na procento původní částky. A za 50 forintů si jízdenku skutečně zakoupil.
Zdroj: BKK/Facebook
V následujících dnech se tímto příběhem bavila média po celém Maďarsku a v systému byla nalezena spousta dalších chyb. Dopravní podnik i T-Systems se rozhodli zaujmout defenzivní taktiku a tvrdili, že systém je v pořádku.
Uběhl pouhý 1 týden, kdy do domu 18letého mladíka, který je dodnes v anonymitě, vtrhla policie a zatkla ho. V tu chvíli totiž dopravní podnik dokončil vyšetřování a mezi důkazy ležel i jeho e-mail. Důležité také je, že mladík nežije v Budapešti a „hacknutí“ systému mu ani neumožnilo udělat si radost zlevněnou jízdenkou na MHD, které by pravidelně využíval. Propuštěn byl o pár hodin později a na internetu se objevil úryvek z jeho vyjádření:
„Je mi 18 let a vystudoval jsem střední školu. Věřím, že můžu pomáhat řešit chyby, a to mě odlišuje od průměru. Minulý pátek jsem zjistil, že si mohu koupit měsíční tiket za cenu denního v novém systému dopravního podniku a informoval jsem ho o tom o 2 minuty později. Ani jsem tiket nevyužil, protože bydlím daleko od Budapešti. Mým cílem bylo nahlásit chybu, aby ji jiní nemohli zneužít. Dopravní podnik neodpověděl, ale na dnešní tiskové konferenci prohlásil, že byli obětí kybernetického útoku. Já jsem našel jen díru v systému, které mohli zneužít stovky lidí.“
Od té doby už se jen předseda dopravního podniku a zástupci T-Systems vzájemně osočují, čí to vlastně byla chyba a ve svých sídlech hbitě oprašují své příručky krizového managementu.
Ve chvíli, kdy byl 18letý chlapec zatknutý, začala se zpráva šířit i internet a reakce uživatelů na sebe nenechala dlouho čekat. Téměř 48 000 recenzí s pouhou 1 hvězdičkou dostal dopravní podnik na své Facebookové stránce s jedním a tím samým komentářem, který obsahoval výše citované policejní vyjádření neznámého mladíka, jež chtěl svým emailem pouze pomoct a zabránit tak zneužití chabě vytvořeného systému.
Jak je vidět, nejen Dopravní podnik hlavního města Prahy dělá chyby. Kolegové z Budapešti se rozhodli řešit situaci po svém a místo toho, aby situaci okolo pochybné implementace online nákupu jízdenek uklidnili, jsou teď akorát všem pro smích.
Zdroje: TechCrunch, BleepingComputer