Matic Tomšič

Sreda,
26. 7. 2017,
11.22

Osveženo pred

7 let, 2 meseca

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Red 9,10

4

Natisni članek

Natisni članek

digizgodbe heker hekerski napad

Sreda, 26. 7. 2017, 11.22

7 let, 2 meseca

Mlademu poštenjaku namesto nagrade zapor, ljudstvo znorelo

Matic Tomšič

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Red 9,10

4

18-letni Madžar je na spletni strani budimpeškega mestnega potniškega prometa odkril napako, ki mu je omogočila nakup katerekoli vozovnice za drobiž. O svojem odkritju je obvestil vodstvo podjetja, ki pa je nadenj poslalo policijo in se na tiskovni konferenci nato pohvalilo, da je ujelo hekerja.

Budimpeški BKK je ekvivalent ljubljanskega LPP-ja.  | Foto: Facebook / BKK Budimpeški BKK je ekvivalent ljubljanskega LPP-ja. Foto: Facebook / BKK

Mladi madžarski računalničar je ob poskusu spletnega nakupa vozovnice za mestni potniški promet v Budimpešti (BKK) ugotovil, da lahko v izvorni kodi spletne strani spremeni vrednosti cen vozovnic. Za vozovnico, ki stane 35 evrov, je tako plačal samo 20 centov. Nakup je bil uspešen, ker spletna stran BKK ni zahtevala nikakršne potrditve transakcije, piše spletna stran Bleeping Computer.

18-letnik je vodstvu BKK nato poslal e-poštno sporočilo, v katerem ga je obvestil o odkriti varnostni luknji. A namesto zahvale so pri BKK poklicali policijo, ker naj bi mladenič vdrl v njihove računalniške sisteme.

Policija se je na domu 18-letnika, ki ni nikoli uporabil vozovnice, niti ne živi blizu Budimpešte, obiskala sredi noči in ga aretirala. Na policijski postaji so ga nato zasliševali več ur. | Foto: Thinkstock Policija se je na domu 18-letnika, ki ni nikoli uporabil vozovnice, niti ne živi blizu Budimpešte, obiskala sredi noči in ga aretirala. Na policijski postaji so ga nato zasliševali več ur. Foto: Thinkstock

Usodna napaka: hvalisanje

Incident bi lahko pometli pod preprogo, če BKK naslednji dan ne bi sklical tiskovne konference, na kateri so se pohvalili, da so zatrli hekerja, in oznanili, da so njihovi računalniški sistemi zdaj varni. Skoraj nemudoma so spletno stran BKK začeli preiskovati še drugi tako imenovani etični hekerji in odkrili celo vrsto dodatnih varnostnih lukenj. 

Sledila je poplava kritik. Neki uporabnik družbenega omrežja Twitter je spletno stran BKK, ki ne deluje že tri dni, opisal kot največjo varnostno polomijo, kar jih je videl v življenju. Na Facebooku je javni profil budimpeškega mestnega prevoza v dveh dneh medtem prejel več kot 47 tisoč negativnih ocen z eno zvezdico. Za primerjavo: profil BKK na Facebooku je prej v šestih letih in pol skupno prejel samo nekaj manj kot 500 ocen. 

Povprečna ocena storitev mestnega potniškega prometa v Budimpešti je zdaj 1. Za podjetje BKK je bolje, da na Facebooku ustvari nov profil, saj si trenutni od poplave negativnih ocen ne bo opomogel nikoli. | Foto: Matic Tomšič Povprečna ocena storitev mestnega potniškega prometa v Budimpešti je zdaj 1. Za podjetje BKK je bolje, da na Facebooku ustvari nov profil, saj si trenutni od poplave negativnih ocen ne bo opomogel nikoli. Foto: Matic Tomšič

Madžarski spletni medij Index.hu poroča tudi, da se je pred poslopjem BKK v Budimpešti v ponedeljek zvečer zbrala skupina ljudi, ki je protestirala zoper aretacijo poštenega 18-letnega računalničarja. 

Ironija

Eden od krivcev za nastalo situacijo je tudi madžarsko tehnološko podjetje T-Systems, ki je za BKK naredilo luknjastno spletno stran.

Podjetje na družbenih omrežjih ni bilo deležno toliko kritik kot budimpeški BKK, je pa na dan prišla informacija, da T-Systems spodbuja in je v preteklosti že sponzoriral konference etičnih hekerjev, ki odkrivajo varnostne luknje in o njih nato obvestijo lastnika spletne strani oziroma računalniškega sistema.

Etični hekerji so na konferencah pod okriljem T-System torej počeli prav to, kar je za BKK v dobri veri naredil aretirani 18-letnik. | Foto: Thinkstock Etični hekerji so na konferencah pod okriljem T-System torej počeli prav to, kar je za BKK v dobri veri naredil aretirani 18-letnik. Foto: Thinkstock

Preberite intervju s slovenskim etičnim hekerjem Milanom Gaborjem

Tudi spletna stran podjetja T-Systems po incidentu ni več dostopna, a je informacijo o konferenci etičnih hekerjev pod okriljem T-Systems vseeno mogoče pridobiti s pomočjo internetnega arhiva, ki sproti shranjuje večino spletnih strani. Najdete jo tukaj.