Za dobrotu na žobrotu. Mladý chlapec odhalil banálne nedostatky v MHD systéme a skončil na polícii
IT systémy, ktoré podľa štátnych zákaziek vytvárajú rôzne firmy, nie vždy skončia úspechom. Dôkazom toho je aj „odfláknutý“ systém nákupu lístkov pre maďarskú MHD s mnohými vážnymi nedostatkami, ktoré istý mladík nahlásil prevádzkovateľovi. Miesto pochvaly ho ale čakal trest a polícia ho zatkla za neoprávnený prístup do systému, ktorý má príliš slabé zabezpečenie.
Maďarská pobočka nemeckej firmy T-Systems vytvorila na zákazku IT systém pre online nakupovanie lístkov MHD, ktorý po 4 rokoch vývoja spustila bez akéhokoľvek testovania. Dôvodom tohto urýchleného uvedenia do prevádzky mal byť plavecký šampionát, no toto neuvážené rozhodnutie sa tvorcom vôbec nevyplatilo. Systém totiž aj napriek dlhému vývoju obsahuje mnohých banálnych chýb a jednu z nich odhalil aj istý mladík. Ten ju ihneď po objavení nahlásil prevádzkovateľovi, no na jeho prekvapenie mu skoro ráno na dvere domu zaklopali policajti. Tí ho zobrali do väzenia za neoprávnený prístup.
„Zbúchaný“ systém za milióny
Vytvorenie celého systému stálo až 9 miliónov eur, pričom mesačné náklady na prevádzku sa pohybujú na úrovni až 80 000 €. Od takto drahej zákazky by mnohí čakali dostatočné zabezpečenie, avšak opak je pravdou. Ešte v deň spustenia systému niekoľko šikovnejších používateľov odhalilo závažné chyby. Tie umožňovali napríklad kopírovať lístky medzi zariadeniami, ukladať heslo ako text, pomocou zmeny internetovej adresy pristupovať k cudzím údajom či dokonca stanoviť si cenu lístka. O „kvalite“ zabezpečenia svedčí aj fakt, že používateľské meno administrátora bolo „admin“ a heslo „adminadmin“.
I would like to congratulate the devs / ticket controllers of @bkkbudapest on the rollout of the new e-ticket system. Very secure CAPTCHA! pic.twitter.com/TbkZKaHLwX
— vista (@vista_df) July 14, 2017
Interná prezenzácia Apple o tom, ako sa zbaviť únikov informácií o produktoch, unikla na verejnosť
Mladík tak nemusel byť skúseným programátorom, aby sa cez nástroj pre vývojárov v prehliadači dostal ku kódu stránky. Tam zistil, že sa cena lístka pri jeho kúpe odosiela na server, a tak ju skúsil zmeniť z pôvodných 31 € na 0,16 €. Vďaka hroznému spracovaniu systému bola táto cena serverom akceptovaná a mladík mohol takto lacný lístok skutočne kúpiť. Po odhalení neprípustnej chyby kontaktoval prevádzkovateľa systému a lacný lístok bol stornovaný, no kompetentní sa mu ďalej viac nevenovali. Tí sa dokonca ani neunúvali problém opraviť a miesto toho sa o mladíka začala zaujímať maďarská polícia.
Kompetentní chybu nepriznali
Po jeho zatknutí usporiadal maďarský dopravca tlačovú konferenciu, kde prezradil, že údaje používateľov sú chránené a systém je bezpečný. Nemohol sa však viac mýliť, pretože sa neskôr na internete objavili ešte ďalšie závažné chyby, ktoré boli nasledované výsmechom na adresu spoločnosti zodpovednej za celý systém. Podľa tvrdení kompetentných urobil na ich IT systém len 18-ročný mladík tzv. „SQL injection“ útok, no aj po odhalení ďalších problémov si tvorcovia chybu nepriznali. Stále však obhajovali svoj „výtvor“ a šéf pobočky T-Systems v Maďarsku dokonca tvrdil, že mladík neupozornil priamo jeho. Vraj mal byť email odoslaný na nesprávnu adresu, no to neskôr vyvrátil záznam z obrazovky.
Za dobrotu na žobrotu. Aj takto by sa dal nazvať práve tento prípad u našich južných susedov, kde sa mladý, zodpovedný muž snažil upozorniť na nedostatky verejného systému, no na oplátku bol potrestaný on sám. Etické hackovanie je dnes často diskutovanou témou a podľa zainteresovaných v tomto prípade nemalo ísť o zodpovedného hackera. Názor verejnosti, ktorá sa do IT firmy pustila, je však odlišný. To, ako celý prípad skončí, zrejme nepredpokladal ani samotný mladík. Práve takéto nedostatky v mnohých štátnych systémoch za milióny eur stoja za „nečakanými“ únikmi dát, kedy útočník nemusí byť majster v programovaní. Aký je tvoj názor na tento prípad?
Čítajte viac z kategórie: Aplikácie
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
AKTUÁLNE: Veľká zmena v USA. Ak im nedáš sociálne siete, nepustia ťa do krajiny
Plaťte, šetrite, investujte, kdekoľvek ste – pohodlne a moderne. Prestúpte s VÚB do inej ligy mobilného bankovníctva
Slováci rozbehli digitálnu revolúciu v panelákoch. Investori vložili do ich geniálnej apky pol milióna
EXKLUZÍVNE: Slovákov okráda „falošná Alza”. Experti varujú, že ťa pripraví o všetky peniaze
Toto ocení každý. WhatsApp zavádza brutálnu novinku, ktorá odstráni mimoriadne otravnú vec
NAJČÍTANEJŠIE ZO STARTITUP
Veľká zmena počasia sa blíži: Na Slovensko mieria prvé zrážky po týždňoch sucha, hlásia experti
Izraelsko-iránsky konflikt mení mapu sveta. Ako ho čítať a čo z neho plynie pre Slovensko (ANALÝZA)
Nemocnica pre Startitup opísala realitu krízy: Zatvárame ambulancie, prepúšťame
Od júla si prilepšia státisíce Slovákov. Zisti, či si medzi nimi aj ty. V hre sú milióny eur (PREHĽAD)
Matematička a fyzik z Košíc vytvorili revolučné riešenie: „Máme technológiu s globálnym potenciálom“
- 24 hod
- 48 hod
- 7 dní
-
- Celý život triedila plasty. Žena neverila vlastným očiam, keď pomocou AirTagu zistila, kde končia
- Vedci našli skrytý trik, ako obnoviť zrak. Takéto niečo by ti nikdy nenapadlo
- Deje sa to len raz za 11 000 rokov. K Slnku sa blíži záhadná planéta a vedci musia konať rýchlo
- Najlepší film Marvelu posledných rokov je konečne online. Aj so slovenským dabingom
- Lacný ako Fabia, výkonný ako Porsche. Známa značka spustila predaj auta s dojazdom 2 000 km
-
- Stáročia stará záhada má jasnú odpoveď. Vo vnútri Mesiaca našli veľké prekvapenie
- Vedci našli skrytý trik, ako obnoviť zrak. Takéto niečo by ti nikdy nenapadlo
- Celý život triedila plasty. Žena neverila vlastným očiam, keď pomocou AirTagu zistila, kde končia
- Zničil rebríčky sledovanosti. Pokračovanie filmového fenoménu z Netflixu sa predstavuje v prvej ukážke
- Deje sa to len raz za 11 000 rokov. K Slnku sa blíži záhadná planéta a vedci musia konať rýchlo
-
- Stáročia stará záhada má jasnú odpoveď. Vo vnútri Mesiaca našli veľké prekvapenie
- Vedci našli skrytý trik, ako obnoviť zrak. Takéto niečo by ti nikdy nenapadlo
- Nový čínsky motor prežil test, ktorý láme fyzikálne zákony. Využíva pohon ako z iného sveta
- O toto išlo Rusom celý čas. Obsadili jedno z najväčších ložísk dôležitej suroviny v Európe
- Celý život triedila plasty. Žena neverila vlastným očiam, keď pomocou AirTagu zistila, kde končia
Rusko chce ovládnuť čínsky trh s kľúčovou surovinou, Indii ponúka „oceľové srdce“
Na Slovensku môžeme závidieť. U našich susedov spustili vo vlakoch testovanie Starlinku
Veľká zmena v slovenskej energetike: ZSE a VSE sa spojili, vzniká nová éra
Pre Teslu to už nemôže byť horšie. Na kľúčových európskych trhoch sa prepadla až o 60 %
Trump má vážny problém. Iránski hackeri hrozia, že zverejnia 100 GB dát e-mailov „jeho ľudí“
NAJČÍTANEJŠIE ZO STARTITUP