SIKKERHET

Rapporterte sikkerhetshull, men fikk ingen takk. I stedet ble tenåringen arrestert

Nå hagler kritikken mot kollektivselskapet, som lanserte billettløsning det var enkelt å lure.

Lav score: Mer enn 45 000 personer har «anmeldt» og gitt det ungarske kollektivselskapet dårlige skussmål på Facebook.
Lav score: Mer enn 45 000 personer har «anmeldt» og gitt det ungarske kollektivselskapet dårlige skussmål på Facebook. Bilde: Skjermdump
24. juli 2017 - 10:23

Kollektivselskapet i den ungarske hovedstaden, Budapesti Közlekedési Központ (BKK), våkner denne uken til en storm av kritikk.

Kritikken hagler mot selskapet som skal ha anmeldt en 18-åring for hacking, etter at han oppdaget sårbarheter i selskapets nye billettløsning og meldte ifra.

Det falt ikke i god jord. Anmeldelsen førte til at tenåringen ble arrestert av politiet midt på natten i forrige uke, skriver Bleeping Computer.

Protestaksjon

Gjennom helgen har folk protestert ved å gi dårligst score (én stjerne) på kollektivselskapets Facebook-sider. Mer enn 45 000 brukere har i skrivende stund engasjert seg der.

De fleste har lagt igjen en kopi av en oversatt beskjed fra 18-åringen, som overfor ungarsk presse har uttalt seg anonymt. Han sier at han bare hadde gode hensikter da han rapporterte sikkerhetshullene inn til BKK, skriver Bleeping Computer.

BKK holdt også en pressekonferanse forrige uke, der selskapets direktør Kálmán Dabóczi informerte at billettløsningen var rammet av datainnbrudd.

Ifølge lokale medier sa han at sikkerhetstesting må være avtalt på forhånd. I motsatt fall regner de alle former for penetrasjonstesting, enten de gjøres med gode eller onde hensikter, som datakriminalitet med en strafferamme på inntil tre års fengsel.

Uten validering

Unggutten skal ha manipulert kildekoden på kollektivselskapets nye nettbaserte tjeneste for billettsalg, gjennom noe så banalt som å endre til lavere pris.

Dette var ikke stort vanskeligere enn å trykke på F12-knappen på tastaturet for å hente opp utviklerverktøy i nettleseren.

For det viste seg nemlig at løsningen verken hadde validering av inndata på klient- eller serversiden.  Ifølge datasikkerhetspublikasjonen Bleeping Computer aksepterte systemet således salg av billetter til den prisen man måtte velge å sette inn i kildekoden.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.