2017. július 25., kedd 07:27
Több mint egy hete azon pörög a fél főváros, hogy a BKK nagy hirtelen bevezette az online jegyárusítást. A rendszerben azonban komoly biztonsági réseket találtak a kísérletező kedvű felhasználók, és sérült a személyes adatok védelme. Elmagyarázzuk, hogy mi a helyzet.
Hallottam a BKK-s online jegyvásárlásról, hogy valami gond van a biztonsággal. Most akkor vegyek online jegyet-bérletet, vagy maradjak a nyomtatottnál?
Egyelőre érdemes megmaradni a nyomtatottnál, ha a lejárt helyett új bérletet kell venni. Mostanában előfordul, hogy nem működik a shop.bkk.hu oldal, és így nem is lehet új e-jegyet venni.
Mi van, ha már késő, és megvettem a mobilos bérletet?
Folyamatban van az adatvédelmi hatóság vizsgálata, és hamarosan megállapítják, hogy a BKK szerverein biztonságban voltak-e a személyes adatok. A BKK azt mondja, hogy a már megvett jegyekkel és bérletekkel tudunk utazni, ezek érvényességét zavartalanul ellenőrzik.
Miért lenne védtelen bármilyen adatom a BKK-nál? Erős jelszót adtam meg, amit csak én ismerek.
Ezt mondta a BKK is, hogy biztonságban vannak az adatok. Aztán kiderült, hogy a jelszavakat egyszerű szövegként küldték ki a felhasználóknak, és még csak nem is titkosítják ezt az emailt. Ezenkívül volt még egy biztonsági rés, a portálra belépett felhasználók egy kis hozzáértéssel mások személyes adatait is megnézhették.
Én is szövegesen írom fel a jelszavaimat egy cetlire, még sincs belőle baj.
Arra nem is lehet messziről rálátni. A webshopok általában egyirányú titkosítást alkalmaznak, és a konkrét jelszó helyett egy úgynevezett hasht tárolnak. Ebből nem lehet visszafejteni az eredeti jelszót. A BKK nem így tett.
Mire megy bárki a megszerzett információkkal?
Gondolom, valós emailcímet adott meg, hiszen erre várja majd a BKK visszaigazolásait. Na, ez máris egy ideális célpont a spamelőknek. Akár egy hamis BKK-weboldalra is elterelhetik, pont úgy, ahogy most a banki ügyfeleket próbálják kamu oldalakra vinni a bűnözők. Ha ilyen oldalon vásárolna a valódi BKK-shop helyett, az olyan lenne, mintha a kezükbe nyomná az összes pénzét.
Az igazolvány számának és a lakcímnek a felhasználása trükkösebb, az igazán súlyos visszaélésekhez a kiberbűnözőknek további adatokra lesz szükségük.
Tőlem aztán semmit sem tudnak meg!
A kiberbűnözőknek kifinomult módszereik vannak. Bevethetnek pszichológiai manipulációt, kifaggathatják a szomszédot, ellophatják a postát, sőt, akár a szemetét is áttúrják, hátha találnak egy kidobott számlalevelet. Ezt pedig hetekkel vagy hónapokkal később is megtehetik, amikor már rég elfelejtette, hogy volt ez a kis incidens a BKK-nál.
Jesszusom, akkor most mit tehetek?
Ebben a pillanatban semmit, amíg a BKK boltja nem elérhető. Amint elérhető lesz, változtassa meg a jelszavát (ha még nem tette meg), és lehetőleg olyanra, amelyben vannak speciális karakterek, számok, kis- és nagybetűk is, és elég hosszú. Amit megad, ne hasonlítson semmi más jelszavára. Addig is, ha a BKK-nál megadott jelszót használta már máshol is, azokon a weboldalakon is változtassa meg a jelszavát. Igen, mindegyiken.
Hú, ez azért elég nagy szívás! Kap ezért valaki büntetést?
Ez attól függ, hogy mit állapít meg az adatvédelmi hatóság, a NAIH. Ők pénzbüntetést szabhatnak ki a BKK-ra, vagy a rendszert üzemeltető T-Systemsre. A szolgáltatás felfüggesztését is elrendelhetik, ha nem találják megfelelőnek a személyes adatok védelmét.
Egy fiatal srácot már elvittek a rendőrök, mert módosította a jegy árát, ötven forintot fizetett tízezer helyett. Ő az a bűnöző, akitől annyira féltenek mindenkit?
Nem, egyáltalán nem. A bűnözők soha nem lepleznék le magukat az áldozatuknál, nem szólnak, hogy elkövették a lopást. Ez a tizenéves fiú viszont a BKK-nak is jelezte, hogy súlyos, ténylegesen kihasználható hibát talált a rendszerükben. Így dolgoznak az etikus hekkerek is, és a modern felfogású cégek még bátorítani is szokták ezt a tevékenységet.
Ez mekkora hülyeség! Én sem kérek meg senkit, hogy rúgja be a lakásom ajtaját, és annak sem örülnék, ha csak úgy próbálkoznának vele.
De ha látja, hogy tárva-nyitva a szomszéd ajtaja, azért csak beszól, hogy hé, minden rendben? Az etikus hekkerek tevékenysége inkább ehhez hasonlít. Persze ez a módszer is csak akkor működik jól, ha az érintett vállalat irányítja a hibabejelentés folyamatát. A Prezinek például van erre egy külön
weboldala, és minden hiba első bejelentését 250 dollárral jutalmazzák. Ennél is kifinomultabb a Google, amely
részletes szabályrendszert állított fel. Mivel a Google esetében a tét is nagy, több ezer dollárt is adnak egy részletesen bemutatott sérülékenységért. A keresőcég tavaly összesen 3 millió dollárt adott etikus hekkereknek.