Több ezer ember személyes adatát lophatták el a BKK-tól
A hanyagul kezelt adatbázis azért különösen komoly probléma, mert élő emailcímeket és jelszavakat is tartalmazott – márpedig az emberek nagy része ugyanazt a jelszót használja mindenhol, így a regisztrációnál megadott emailcíménél is. - írja az index.hu.
Forrás: index.hu
Több mint háromezer felhasználó személyes adatai szivárogtak ki a T-Systems és a BKK közös rendszeréből
A hírportál egy hozzá eljuttatott, felhasználói neveket, emailcímeket és igazolványszámokat tartalmazó adatbázissal igazolja, hogy az említett rendszerben súlyos biztonsági hibák voltak, amikor már élesben működött.
A személyi igazolvány száma szintén különösen érzékeny személyes adat, amivel vissza lehet élni.
Az adatbázist a 24.hu átadta a Nemzeti Adatvédelmi és Információbiztonsági Hatóságnak (NAIH), ahol – úgy fogalmaznak – „minden kétséget kizáróan” igazolják majd az adatok valódiságát. Péterfalvi Attila, a hivatal vezetője már hétfőn közölte velünk, hogy vizsgálatot kezdeményez az ügyben, amikor még nem volt ismert az adatbázis megléte.
A 24.hu azt írja, a hivatal ezt az adatbázist is felhasználja majd a vizsgálatok során.
Mindez azt jelenti, hogy Dabóczi Kálmán, a BKK vezérigazgatója nem mondott igazat a rendszerükben tárolt adatok biztonságáról.
A helyzet pikantériája, hogy a BKK még büszkélkedett is azzal, hány millió forintot költöttek el a regisztrált felhasználók ezen a portálon. A BKK múlt héten tagadta a biztonsági hiányosságokat, és rögtön a támadók nyakába varrta az egészet. Fel is jelentettek egy fiatalt, aki felhívta a figyelmüket egy hibára.
Utas elektronikus bérletét ellenőrzi egy jegyellenőr Fotó: Balogh Zoltán Forrás: index.hu
A hibabejelentés módja kifogásolható, illik időt hagyni az érintett cégnek a vádak tisztázására, ugyanakkor a BKK és a T-Systems se tett meg mindent, hogy a megfelelő kezekbe kerüljenek az IT-biztonsági témájú bejelentések.
Olyan emailcímen várták az IT-biztonsági jelzéseket, ahol egyébként az utasok minden egyéb panaszát kezelik.
Mint kiderült, számos hiba volt a rendszerben.
- Első tesztünkben megtaláltuk a jelszókezeléssel kapcsolatos problémákat.
- Még aznap kiderült, hogy átírható a vásárlás összege (ebből lett feljelentés).
- Másnap már arról jelentek meg információk, hogy bárkinek az adatlapját meg lehet nézni a rendszerben.
- A weboldal biztonsági rétegében is sérülékenységet talált egy online eszköz.
Az elmúlt héten többször is küldtünk kérdéseket a T-Systemsnek, miután a BKK arra kért minket közleményben, hogy a technikai jellegű témákat a jegyárusító rendszer üzemeltetőjével és kialakítójával vitassuk meg. Az alábbi kérdéseket tettük fel:
- A T-Systems milyen minőségűnek tartja a rendszert?
- Mennyi időt szántak a tesztelésére?
- Volt-e független biztonsági auditálás?
- Magyarországról és külföldről is érkeztek támadások?
- Elloptak a rendszerből személyes adatokat?
Frissítés: A Telekom cikkünk megjelenése után küldött választ a megkeresésünkre, a cikk alján keretesben olvasható.
A 24.hu-nak sikerült kiderítenie, hogy a jelszavakon volt titkosítás, de elavult módszerű, könnyen visszafejthető. Ezenkívül feltárták, hogy a BKK jegyrendszerének adatbázisait nyilvánosan hozzáférhető könyvtárba mentették, és nem ellenőrizték a kívülről bejövő adatokat, ez tette lehetővé a jegyárak manipulációját.
Jelenleg nem működik a shop.bkk.hu oldal, és így nem is lehet új e-jegyet venni Fotó: Hegedűs Márk Forrás: index.hu
Gyorsítósávon hajtottak
Nemrég a Hvg.hu birtokába került egy email, amely legalább részben választ ad a kérdéseinkre. A T-Systems vezérigazgatója a cégen dolgozóinak küldött köremailt, és ebből az derül ki, hogy
fél nappal a rendszer indulása előtt kérték meg őket a szolgáltatás tesztelésére.
Magyarán a rekord 3 hónap alatt összerakott rendszer tesztelésére nem jutott túl sok idő. Utólag úgy tűnik, a T-Systems munkatársai nem tartották fontosnak azt a kérést az emailből, amelyben arra kérte őket a vezérigazgató, hogy ne pletykáljanak semmit a jegyárusító megoldásról, hiszen valahogy kiszivárgott ez az email.
Régi szerelem
A BKK és a T-Systems közös múltja a kilencvenes évekig nyúlik vissza, az informatikai cég mostanáig nagyon sok milliárd forintnyi megrendelést – rengeteg közpénzt – nyert ennek a jó kapcsolatnak köszönhetően.
Még IQSYS néven fejlesztették ki a BKV teljes működését irányító rendszert, amely a járműveket, sofőröket és menetrendeket kezeli. Ez a rendszer sem volt soha a BKV vagy a BKK tulajdonában. Az IQSYS később betagozódott a T-Systems cégnév alá, és továbbra is szolgáltatásként biztosítja az BKK irányítórendszerét.
Ezt a helyzeti előnyüket azóta is jól kihasználják, hiszen minden más újításnak is a meglévő, általuk jól ismert rendszerhez kellett csatlakoznia. Ők integrálták be a rendszerbe a Futár külföldi beszállítóinak a rendszerét is.
Dabóczi Kálmán, a Budapesti Közlekedési Központ vezérigazgatója beszél a MOL Bubi közbringarendszer századik gyűjtőállomásának átadásán az óbudai Kolosy téren 2016. november 3-án
Fotó: Mohai Balázs Forrás: index.hu
A T-Systems és a BKK közös munkáját érintő problémák sem új keletűek. Emlékezetes a Bubi bérbringahálózat elindulásának több hónapos csúszása, ami miatt
a BKK akkori vezetése keményen behajtotta a kötbért a T-Systemsen.
Keményen ellenőrizni kellett a leszállított informatikai rendszert, és a szállítás határideje után még hónapokig tartó tesztelésre volt szükség ahhoz, hogy az előkerült hibákat ki tudják javítani.
Vadiúj jegyautomatákat is készített a T-Systems a BKK-nak, azokat az érintőkijelzős csilivili terminálokat, amelyek most is mindenfelé láthatók.
Ezek elég jól teljesítenek, bár pár éve felmerült az is, hogy esetleg a hibái miatt törik-zúzzák szét a kijelzőiket.
A T-Systems válasza az Indexnek:
"A T-Systems Magyarország eddig is és ezután is a lehető legkomolyabban vett és vesz minden olyan jelzést, amely adatvédelmi incidens lehetőségére utalhat, és minden ilyen jelzést haladéktanul kivizsgál. Ez igaz a sajtóban már korábban megjelent híresztelésekre is, amiket a T-Systems eddig is folyamatosan vizsgált.
Az eddigi vizsgálatok alapján jelenleg nincs tudomásunk az online jegyértékesítési rendszerrel kapcsolatos bármely adatvédelmi incidensről; nincs tudomásunk arról, hogy bármely személy személyes adatai illetéktelenekhez juthattak volna. A belső vizsgálaton felül a T-Systems Magyarország a hétfőn felkérte az EY nemzetközi tanácsadó céget egy külső, független szakértői vizsgálat lefolytatására is."
