Esküszöm, nem trollkodni akartam a rendszerrel, de sikerült belebotlanom a legdurvább biztonsági hibába a BKK és a T-Systems e-jegy szolgáltatásában. Az emberi erőforrásba.
Amikor a biztonsági hibákról szóló első hírek megjelentek a sajtóban, én megijedtem. Volt is miért: az első napon beregisztráltam a szolgáltatásba, megadtam minden adatomat, még a személyi igazolványom számát is. Az volt a tervem, hogy a következő bérletemet már elektronikus formában váltom meg.
Napok alatt nyilvánvalóvá vált, hogy ez a rendszer ebben a formában vállalhatatlan. Azonnal jelszót váltottam, és törölni akartam az adataimat, legalább a személyi azonosítómat. Az BKK Shop rendszere erre semmilyen lehetőséget nem kínál fel, úgyhogy a BKK ügyfélszolgálatához fordultam a következő kéréssel:
Tisztelt ügyfélszolgálat
Szeretném törölni a regisztrációmat a shop.bkk.hu rendszeréből. A sajtóban megjelent biztonsági hibák ismeretében nem szeretném, ha rendszerük a személyes adataimat, főleg a megadott személyi igazolvány számomat tárolná.
Mivel az oldaluk nem kínál lehetőséget a regisztráció törlésére, kérem a ***.***@***.com néven regisztrált **** fiókom azonnali megszüntetését.
Majd vártam.
A következő három nap várakozással telt, eközben jöttem csak rá, hogy nem arról az emailcímről írtam meg a levelet, amihez a regisztrált fiókom tartozik, hanem a munkahelyemen használt céges címemről. A két emailcímemben csak a nevem egyezik, de az is csak félig, és semmiben nem utal egyik a másikra.
Ekkor vált az egyszerű hivatali kérésem szakmai kíváncsisággá: mi történik, ha eleget tesznek a kérésemnek?
Ekkora baki csak nem történhet meg egy ennyire komoly rendszerben, ahol egy városnyi ember tárolná a mindennapi utazáshoz szükséges személyes adatait, és ahol az ember pénzt, tízezreket fizet ki minden hónapban. Gondoltam.
Szóval reménykedtem, sőt, szinte biztos voltam egy elutasító válaszban, egy visszaigazolást vagy megerősítést váró kérésben a BKK részéről.
Ezzel szemben ma megjött a válasz:
Tájékoztatjuk, hogy kérésére a BKK Online Shop-ban a regisztrációját töröltük.
Kovács Jánosok és Szabó Istvánok, részvétem!
(Fontos megjegyeznem, hogy a nevemből a Haralamposz egyik címemben sem szerepel, így kizárható, hogy a nevem egyedisége döntött volna a törlésnél.)
A Közlekedő Tömeg Egyesület közleménye szerint tízből tízszer sikerült egy lemásolt online bérlettel átjutniuk a BKK jegyellenőrein.
Dabóczi Kálmán, a BKK vezérigazgatója szerint ez nem sikerült volna, ha az ellenőröknél QR-kód-leolvasó is lett volna. Az Egyesület szerint ez nem igaz; az egyik ellenőr ellenőrizte a QR kódot, de a hamis bérlettel is átjutottak rajta.
Az esetről videó készült, ami az egyesület Facebook-oldalára is felkerült.
„A rendszer alapjaiban rossz. Akárhogy javítgatják a szoftvert, az ellenőrzések kijátszhatóak maradnak [...] és továbbra is óriási a bliccelés terjedésének lehetősége. Egyesületünk álláspontja szerint azonnal le kell állítani a rendszert” – írta Kelemen Tamás alelnök a szerkesztőségünkhöz eljuttatott közleményben.