IT systémy, ktoré pod?a ?tátnych zákaziek vytvárajú rôzne firmy, nie v?dy skon?ia úspechom. Dôkazom toho je aj ?odfláknutý? systém nákupu lístkov pre ma?arskú MHD s mnohými vá?nymi nedostatkami, ktoré istý mladík nahlásil prevádzkovate?ovi. Miesto pochvaly ho ale ?akal trest a polícia ho zatkla za neoprávnený prístup do systému, ktorý má príli? slabé zabezpe?enie.
Sleduj Fontech.sk aj na Facebooku, YouTube a Instagrame!
Ma?arská pobo?ka nemeckej firmy T-Systems vytvorila na zákazku IT systém pre online nakupovanie lístkov MHD, ktorý po 4 rokoch vývoja spustila bez akéhoko?vek testovania. Dôvodom tohto urýchleného uvedenia do prevádzky mal by? plavecký ?ampionát, no toto neuvá?ené rozhodnutie sa tvorcom vôbec nevyplatilo. Systém toti? aj napriek dlhému vývoju obsahuje mnohých banálnych chýb a jednu z nich odhalil aj istý mladík. Ten ju ihne? po objavení nahlásil prevádzkovate?ovi, no na jeho prekvapenie mu skoro ráno na dvere domu zaklopali policajti. Tí ho zobrali do väzenia za neoprávnený prístup.
?Zbúchaný? systém za milióny
Vytvorenie celého systému stálo a? 9 miliónov eur, pri?om mesa?né náklady na prevádzku sa pohybujú na úrovni a? 80 000 ?. Od takto drahej zákazky by mnohí ?akali dostato?né zabezpe?enie, av?ak opak je pravdou. E?te v de? spustenia systému nieko?ko ?ikovnej?ích pou?ívate?ov odhalilo záva?né chyby. Tie umo??ovali napríklad kopírova? lístky medzi zariadeniami, uklada? heslo ako text, pomocou zmeny internetovej adresy pristupova? k cudzím údajom ?i dokonca stanovi? si cenu lístka. O ?kvalite? zabezpe?enia sved?í aj fakt, ?e pou?ívate?ské meno administrátora bolo ?admin? a heslo ?adminadmin?.
I would like to congratulate the devs / ticket controllers of @bkkbudapest on the rollout of the new e-ticket system. Very secure CAPTCHA! pic.twitter.com/TbkZKaHLwX
? vista (@vista_df) July 14, 2017
Nenechaj si ujs?Interná prezenzácia Apple o tom, ako sa zbavi? únikov informácií o produktoch, unikla na verejnos?
Mladík tak nemusel by? skúseným programátorom, aby sa cez nástroj pre vývojárov v prehliada?i dostal ku kódu stránky. Tam zistil, ?e sa cena lístka pri jeho kúpe odosiela na server, a tak ju skúsil zmeni? z pôvodných 31 ? na 0,16 ?. V?aka hroznému spracovaniu systému bola táto cena serverom akceptovaná a mladík mohol takto lacný lístok skuto?ne kúpi?. Po odhalení neprípustnej chyby kontaktoval prevádzkovate?a systému a lacný lístok bol stornovaný, no kompetentní sa mu ?alej viac nevenovali. Tí sa dokonca ani neunúvali problém opravi? a miesto toho sa o mladíka za?ala zaujíma? ma?arská polícia.
Odporúčame
Kompetentní chybu nepriznali
Po jeho zatknutí usporiadal ma?arský dopravca tla?ovú konferenciu, kde prezradil, ?e údaje pou?ívate?ov sú chránené a systém je bezpe?ný. Nemohol sa v?ak viac mýli?, preto?e sa neskôr na internete objavili e?te ?al?ie záva?né chyby, ktoré boli nasledované výsmechom na adresu spolo?nosti zodpovednej za celý systém. Pod?a tvrdení kompetentných urobil na ich IT systém len 18-ro?ný mladík tzv. ?SQL injection? útok, no aj po odhalení ?al?ích problémov si tvorcovia chybu nepriznali. Stále v?ak obhajovali svoj ?výtvor? a ?éf pobo?ky T-Systems v Ma?arsku dokonca tvrdil, ?e mladík neupozornil priamo jeho. Vraj mal by? email odoslaný na nesprávnu adresu, no to neskôr vyvrátil záznam z obrazovky.
zdroj fotografie: Pixabay
Za dobrotu na ?obrotu. Aj takto by sa dal nazva? práve tento prípad u na?ich ju?ných susedov, kde sa mladý, zodpovedný mu? sna?il upozorni? na nedostatky verejného systému, no na oplátku bol potrestaný on sám. Etické hackovanie je dnes ?asto diskutovanou témou a pod?a zainteresovaných v tomto prípade nemalo ís? o zodpovedného hackera. Názor verejnosti, ktorá sa do IT firmy pustila, je v?ak odli?ný. To, ako celý prípad skon?í, zrejme nepredpokladal ani samotný mladík. Práve takéto nedostatky v mnohých ?tátnych systémoch za milióny eur stoja za ?ne?akanými? únikmi dát, kedy úto?ník nemusí by? majster v programovaní. Aký je tvoj názor na tento prípad?
