IT systémy, ktoré podľa štátnych zákaziek vytvárajú rôzne firmy, nie vždy skončia úspechom. Dôkazom toho je aj „odfláknutý“ systém nákupu lístkov pre maďarskú MHD s mnohými vážnymi nedostatkami, ktoré istý mladík nahlásil prevádzkovateľovi. Miesto pochvaly ho ale čakal trest a polícia ho zatkla za neoprávnený prístup do systému, ktorý má príliš slabé zabezpečenie. 

Maďarská pobočka nemeckej firmy T-Systems vytvorila na zákazku IT systém pre online nakupovanie lístkov MHD, ktorý po 4 rokoch vývoja spustila bez akéhokoľvek testovania. Dôvodom tohto urýchleného uvedenia do prevádzky mal byť plavecký šampionát, no toto neuvážené rozhodnutie sa tvorcom vôbec nevyplatilo. Systém totiž aj napriek dlhému vývoju obsahuje mnohých banálnych chýb a jednu z nich odhalil aj istý mladík. Ten ju ihneď po objavení nahlásil prevádzkovateľovi, no na jeho prekvapenie mu skoro ráno na dvere domu zaklopali policajti. Tí ho zobrali do väzenia za neoprávnený prístup.

„Zbúchaný“ systém za milióny

Vytvorenie celého systému stálo až 9 miliónov eur, pričom mesačné náklady na prevádzku sa pohybujú na úrovni až 80 000 €. Od takto drahej zákazky by mnohí čakali dostatočné zabezpečenie, avšak opak je pravdou. Ešte v deň spustenia systému niekoľko šikovnejších používateľov odhalilo závažné chyby. Tie umožňovali napríklad kopírovať lístky medzi zariadeniami, ukladať heslo ako text, pomocou zmeny internetovej adresy pristupovať k cudzím údajom či dokonca stanoviť si cenu lístka. O „kvalite“ zabezpečenia svedčí aj fakt, že používateľské meno administrátora bolo „admin“ a heslo „adminadmin“.

I would like to congratulate the devs / ticket controllers of @bkkbudapest on the rollout of the new e-ticket system. Very secure CAPTCHA! pic.twitter.com/TbkZKaHLwX

— vista (@vista_df) July 14, 2017

Nenechaj si ujsť
Interná prezenzácia Apple o tom, ako sa zbaviť únikov informácií o produktoch, unikla na verejnosť

Mladík tak nemusel byť skúseným programátorom, aby sa cez nástroj pre vývojárov v prehliadači dostal ku kódu stránky. Tam zistil, že sa cena lístka pri jeho kúpe odosiela na server, a tak ju skúsil zmeniť z pôvodných 31 € na 0,16 €. Vďaka hroznému spracovaniu systému bola táto cena serverom akceptovaná a mladík mohol takto lacný lístok skutočne kúpiť. Po odhalení neprípustnej chyby kontaktoval prevádzkovateľa systému a lacný lístok bol stornovaný, no kompetentní sa mu ďalej viac nevenovali. Tí sa dokonca ani neunúvali problém opraviť a miesto toho sa o mladíka začala zaujímať maďarská polícia.

Kompetentní chybu nepriznali

Po jeho zatknutí usporiadal maďarský dopravca tlačovú konferenciu, kde prezradil, že údaje používateľov sú chránené a systém je bezpečný. Nemohol sa však viac mýliť, pretože sa neskôr na internete objavili ešte ďalšie závažné chyby, ktoré boli nasledované výsmechom na adresu spoločnosti zodpovednej za celý systém. Podľa tvrdení kompetentných urobil na ich IT systém len 18-ročný mladík tzv. „SQL injection“ útok, no aj po odhalení ďalších problémov si tvorcovia chybu nepriznali. Stále však obhajovali svoj „výtvor“ a šéf pobočky T-Systems v Maďarsku dokonca tvrdil, že mladík neupozornil priamo jeho. Vraj mal byť email odoslaný na nesprávnu adresu, no to neskôr vyvrátil záznam z obrazovky.

zdroj fotografie: Pixabay

Za dobrotu na žobrotu. Aj takto by sa dal nazvať práve tento prípad u našich južných susedov, kde sa mladý, zodpovedný muž snažil upozorniť na nedostatky verejného systému, no na oplátku bol potrestaný on sám. Etické hackovanie je dnes často diskutovanou témou a podľa zainteresovaných v tomto prípade nemalo ísť o zodpovedného hackera. Názor verejnosti, ktorá sa do IT firmy pustila, je však odlišný. To, ako celý prípad skončí, zrejme nepredpokladal ani samotný mladík. Práve takéto nedostatky v mnohých štátnych systémoch za milióny eur stoja za „nečakanými“ únikmi dát, kedy útočník nemusí byť majster v programovaní. Aký je tvoj názor na tento prípad?