Mintha valakire rárúgnánk a lakása ajtaját, és azt mondanánk, hogy találtunk egy biztonsági rést az otthonán, és bejutottunk
– fogalmazott Dabóczy Kálmán, a BKK vezérigazgatója, amikor az online jegyértékesítési rendszerről beszélt kedden egy sajtótájékoztatón.
Ezen felbuzdulva újra megnéztem azt az emailt, amelyben a BKK kiküldte az elfelejtett jelszavamat, és újabb apróságra figyeltem fel. Lassan írom, hogy érthető legyen:
Magyarán a felhasználónevem és a jelszavam úgy száguldott végig az egész kurva interneten, hogy aki azt száguldozás közben elkapta, bármilyen módszerrel vagy okkal, az onnantól hozzáférhetett a jelszavamhoz, és annak révén a shop.bkk.hu oldalra belépve a legfontosabb személyes adataimhoz. Például a lakcímemhez és a személyi igazolványom számához.
Ezt nevezem én a társadalomba vetett őszinte, már-már meghitt bizalomnak! Én mondjuk a kulcsomat zsebben vagy táskában tartom, de nyilván túl aggódós vagyok.
Bár az is izgalmas, ha a BKK-tól 50 vagy 500 forintért lehet tízezer forintos bérletet venni, ez az ő bajuk, tőlük lopnak. Ha ez nem lehetséges – mint azt a BKK állítja –, annak csak örülhetünk. Az viszont nagyon zavar, hogy a személyes adataimhoz bárki könnyen hozzájuthat: aki elfogja menet közben az emailt, a BKK rendszergazdája, vagy bárki, aki hozzáfér ezekhez a rendszerekhez, és tud olvasni.
Még jó, hogy a személyes adatok tárolását és kezelését törvények szabályozzák, és az irányelvek a felhasználó védelmét igyekeznek biztosítani. Meglátjuk, hogyan viszonyul a BKK és a T-Systems által működtetett rendszer a hatályos magyar törvényekhez. Az az email már átszáguldott az interneten, mindenféle szokásos védelem nélkül. Tudom, túl aggódós vagyok.
Megjegyzem – mert nehéz csak úgy elszaladni a cikk elején idézett hasonlat mellett –, hogy az orosz, ukrán, román, magyar vagy bármilyen más nemzetiségű kiberbűnözők, akiktől a világ legerősebb államainak vezetői is összefossák magukat, pontosan úgy dolgoznak, hogy rárúgják az ajtót az emberre, és minden létező hibát kihasználva ellopják, ami lopható. Viszont ezek a bűnözők soha nem szólnak támadás után, hogy bocsi, találtunk egy biztonsági rést.
Ezzel szemben vannak azok, akik csak tesztelik a rendszert, és ha hibát találnak, szólnak. A legkomolyabb techcégek pedig egyenesen nyilvános hibavadász – bug bounty – programokat indítanak, mert ezzel biztosítják, hogy a világ legjobb kódolói is érdekeltek legyenek a hibák felfedezésében, és a tudásukat ne a bűnözőknek adják el. Ezek betömése után pedig biztonságosabbá válnak a rendszerek, mindenki nyer. Még csak előzetes szerződést sem kötnek velük, hiszen honnan tudnák előre, hogy ki a világ legtehetségesebb hibavadásza? Általában nem egy közbeszerzési pályázatból derül ki az ilyesmi.
Ami a BKK-nál most a szemünk előtt zajlik, pont az ellenkezője annak, amit az iparág vezető techcégei csinálnak. A tagadás, a másokra mutogatás azonban nem célravezető; soha senki nem fog szólni a BKK-nak vagy a T-Systemsnek, ha nem ismerik el a hibáikat, és közben perrel fenyegetik azokat is, akik talán csak segíteni próbáltak. Az jogos, hogy a hibabejelentés módján is lenne még mit csiszolni, mert mindenkinek előnyösebb lenne, ha a rendszer üzemeltetője kapott volna időt, és azelőtt tudott volna javítani, hogy az egész nyilvánosság ezen csámcsogna. Ebben viszont nem az érintett cégek kezében volt a gyeplő, elvesztették a hibakereséssel kapcsolatos, szakértők felé történő kommunikáció irányítását. Úgy tették elénk ezt a rendszert, hogy
Nem azt mondták, hogy ez egy béta, tele bugokkal, és várjuk a programozók észrevételeit.
Most nem tudom, mit csináljak. Tényleg jó lenne ez a digitális bérletvásárlás, franc akar mindig sorban állni egy nyomtatott fecniért, és még ez a mobilos megoldás is teljesen vállalható. A mobil lemerülésétől tartani legalább annyira gáz, mint úgy autóba ülni, hogy bármikor kifogyhat a benzin.
Még nem kaptam választ pár kérdésemre. Például arra, hogy vajon elvégeztek-e a rendszeren egy független biztonsági auditot, és annak mi lett az eredménye? Hogyan tudják bizonyítani, hogy a kommunikáció folyamán nem loptak el semmilyen személyes adatot, ha a jelszavam így átment az egész interneten? És mit mondjak akkor, ha esetleg visszaélne valaki a személyi igazolványom számával, hogy hol történhetett meg ilyesmi?
De tudom, túlságosan aggódós vagyok.
A shop.bkk.hu portál most már nem küldi ki a jelszót, hanem egy rövid ideig érvényes linkre kattintva kell új jelszót megadni az elfelejtett régi helyett.