- Két hét alatt csaknem hétszáz új álláshirdetést adott fel a Belügyminisztérium, óriási a tanárhiány
- Jön még pénz Brüsszelből? Megszólalt a miniszter
- Gyárfás Tamás ismét a bíróság előtt: kulcsfontosságú hangfelvételek kerültek terítékre
- Mi történt? Lezuhant egy helikopter a Mount Everest közelében - Senki nem élte túl
- Mutatjuk, melyek lesznek a legfontosabb témák a vilniusi NATO-csúcson
Több mint háromezer felhasználó személyes adatai szivárogtak ki a T-Systems és a BKK közös rendszeréből – tudta meg a 24.hu. A hírportál egy hozzá eljuttatott, felhasználói neveket, emailcímeket és igazolványszámokat tartalmazó adatbázissal igazolja, hogy az említett rendszerben súlyos biztonsági hibák voltak, amikor már élesben működött. A hanyagul kezelt adatbázis azért különösen komoly probléma, mert élő emailcímeket és jelszavakat is tartalmazott – márpedig az emberek nagy része ugyanazt a jelszót használja mindenhol, így a regisztrációnál megadott emailcíménél is. A személyi igazolvány száma szintén különösen érzékeny személyes adat, amivel vissza lehet élni.
Az adatbázist a 24.hu átadta a Nemzeti Adatvédelmi és Információbiztonsági Hatóságnak (NAIH), ahol – úgy fogalmaznak – „minden kétséget kizáróan” igazolják majd az adatok valódiságát. Péterfalvi Attila, a hivatal vezetője már hétfőn közölte velünk, hogy vizsgálatot kezdeményez az ügyben, amikor még nem volt ismert az adatbázis megléte. A 24.hu azt írja, a hivatal ezt az adatbázist is felhasználja majd a vizsgálatok során.
Mindez azt jelenti, hogy Dabóczi Kálmán, a BKK vezérigazgatója nem mondott igazat a rendszerükben tárolt adatok biztonságáról.
A helyzet pikantériája, hogy a BKK még büszkélkedett is azzal, hány millió forintot költöttek el a regisztrált felhasználók ezen a portálon. A BKK múlt héten tagadta a biztonsági hiányosságokat, és rögtön a támadók nyakába varrta az egészet. Fel is jelentettek egy fiatalt, aki felhívta a figyelmüket egy hibára.
A hibabejelentés módja kifogásolható, illik időt hagyni az érintett cégnek a vádak tisztázására, ugyanakkor a BKK és a T-Systems se tett meg mindent, hogy a megfelelő kezekbe kerüljenek az IT-biztonsági témájú bejelentések. Olyan emailcímen várták az IT-biztonsági jelzéseket, ahol egyébként az utasok minden egyéb panaszát kezelik.
Mint kiderült, számos hiba volt a rendszerben.
Első tesztünkben megtaláltuk a jelszókezeléssel kapcsolatos problémákat.
Még aznap kiderült, hogy átírható a vásárlás összege (ebből lett feljelentés).
Másnap már arról jelentek meg információk, hogy bárkinek az adatlapját meg lehet nézni a rendszerben.
A weboldal biztonsági rétegében is sérülékenységet talált egy online eszköz.
Az elmúlt héten többször is küldtünk kérdéseket a T-Systemsnek, miután a BKK arra kért minket közleményben, hogy a technikai jellegű témákat a jegyárusító rendszer üzemeltetőjével és kialakítójával vitassuk meg. Az alábbi kérdéseket tettük fel:
A T-Systems milyen minőségűnek tartja a rendszert?
Mennyi időt szántak a tesztelésére?
Volt-e független biztonsági auditálás?
Magyarországról és külföldről is érkeztek támadások?
Elloptak a rendszerből személyes adatokat?
Frissítés: A Telekom cikkünk megjelenése után küldött választ a megkeresésünkre, a cikk alján keretesben olvasható.
A 24.hu-nak sikerült kiderítenie, hogy a jelszavakon volt titkosítás, de elavult módszerű, könnyen visszafejthető. Ezenkívül feltárták, hogy a BKK jegyrendszerének adatbázisait nyilvánosan hozzáférhető könyvtárba mentették, és nem ellenőrizték a kívülről bejövő adatokat, ez tette lehetővé a jegyárak manipulációját.
Gyorsítósávon hajtottak
Nemrég a Hvg.hu birtokába került egy email, amely legalább részben választ ad a kérdéseinkre. A T-Systems vezérigazgatója a cégen dolgozóinak küldött köremailt, és ebből az derül ki, hogy
fél nappal a rendszer indulása előtt kérték meg őket a szolgáltatás tesztelésére.
Magyarán a rekord 3 hónap alatt összerakott rendszer tesztelésére nem jutott túl sok idő. Utólag úgy tűnik, a T-Systems munkatársai nem tartották fontosnak azt a kérést az emailből, amelyben arra kérte őket a vezérigazgató, hogy ne pletykáljanak semmit a jegyárusító megoldásról, hiszen valahogy kiszivárgott ez az email.
Régi szerelem
A BKK és a T-Systems közös múltja a kilencvenes évekig nyúlik vissza, az informatikai cég mostanáig nagyon sok milliárd forintnyi megrendelést – rengeteg közpénzt – nyert ennek a jó kapcsolatnak köszönhetően.
Még IQSYS néven fejlesztették ki a BKV teljes működését irányító rendszert, amely a járműveket, sofőröket és menetrendeket kezeli. Ez a rendszer sem volt soha a BKV vagy a BKK tulajdonában. Az IQSYS később betagozódott a T-Systems cégnév alá, és továbbra is szolgáltatásként biztosítja az BKK irányítórendszerét.
Ezt a helyzeti előnyüket azóta is jól kihasználják, hiszen minden más újításnak is a meglévő, általuk jól ismert rendszerhez kellett csatlakoznia. Ők integrálták be a rendszerbe a Futár külföldi beszállítóinak a rendszerét is.
A T-Systems és a BKK közös munkáját érintő problémák sem új keletűek. Emlékezetes a Bubi bérbringahálózat elindulásának több hónapos csúszása, ami miatt
a BKK akkori vezetése keményen behajtotta a kötbért a T-Systemsen.
Keményen ellenőrizni kellett a leszállított informatikai rendszert, és a szállítás határideje után még hónapokig tartó tesztelésre volt szükség ahhoz, hogy az előkerült hibákat ki tudják javítani.
Vadiúj jegyautomatákat is készített a T-Systems a BKK-nak, azokat az érintőkijelzős csilivili terminálokat, amelyek most is mindenfelé láthatók. Ezek elég jól teljesítenek, bár pár éve felmerült az is, hogy esetleg a hibái miatt törik-zúzzák szét a kijelzőiket.
A T-Systems válasza az Indexnek:
"A T-Systems Magyarország eddig is és ezután is a lehető legkomolyabban vett és vesz minden olyan jelzést, amely adatvédelmi incidens lehetőségére utalhat, és minden ilyen jelzést haladéktanul kivizsgál. Ez igaz a sajtóban már korábban megjelent híresztelésekre is, amiket a T-Systems eddig is folyamatosan vizsgált. Az eddigi vizsgálatok alapján jelenleg nincs tudomásunk az online jegyértékesítési rendszerrel kapcsolatos bármely adatvédelmi incidensről; nincs tudomásunk arról, hogy bármely személy személyes adatai illetéktelenekhez juthattak volna. A belső vizsgálaton felül a T-Systems Magyarország a hétfőn felkérte az EY nemzetközi tanácsadó céget egy külső, független szakértői vizsgálat lefolytatására is."
index.hu
Feltöltve: 2017.07.25.
Megnézve: 1109
További hírek
- Ezeken a magyar településeken már készülhetnek az ivóvízhiányra
- Fokozódik a konfliktus: tűzharc tört ki a Wagner-csoport és az orosz légierő között, már három helikoptert lelőttek
- Putyin beszédet intézett népéhez a a Wagner-csoport lázadása után: „Az ilyen fenyegetésre keményen fogunk reagálni”
- Lázadás tört ki Oroszországban: a Wagner zsoldoscsoport elfoglalt egy orosz várost, Putyin hamarosan beszédet mond
- Olyan vihar jöhet, ami ellen az esernyő nem elég
- Ők öten vesztek hullámsírba a Titan fedélzetén
- Ezeken a magyar településeken már készülhetnek az ivóvízhiányra
- Fokozódik a konfliktus: tűzharc tört ki a Wagner-csoport és az orosz légierő között, már három helikoptert lelőttek
- Putyin beszédet intézett népéhez a a Wagner-csoport lázadása után: „Az ilyen fenyegetésre keményen fogunk reagálni”
- Lázadás tört ki Oroszországban: a Wagner zsoldoscsoport elfoglalt egy orosz várost, Putyin hamarosan beszédet mond
- Olyan vihar jöhet, ami ellen az esernyő nem elég
- Ők öten vesztek hullámsírba a Titan fedélzetén
- Az Európai Parlament megszavazta: Magyarország alkalmatlan az uniós elnökségre
- Aligha most robban föl a Balkán puskaporos hordója
- Putyin arra játszik, hogy legyen ürügye az első nukleáris csapásra
- Novák Katalin a kórházban indította a reggelt
