Bárki feltörheti a BKK elektromos jegyvásárló rendszerét

A BKK nem kevés csúszás és kínlódás után, pont a vizes vb-re időzítve vezette be cseppet sem felhasználóbarát e-jegyrendszerét, aminek eredményeképpen a turisták útlevéllel és mobilételefonnal, a budapestiek minimum személyivel és mobillal kell, hogy igazolják magukat, ha ilyen úri huncutságra vetemednek, mármint a 2017-ben itthon még mindig a kétfejű birkecs egzotikumához fogható internetes jegyvásárláshoz. Már ha sikerrel járnak, mert ahogy az kiderült az éles tesztelés alatt, nem minden telefonon működik a rendszer az alapbeállításokkal.  

Aztán ahogy rászabadultak a felhasználók a szolgáltatásra, úgy kezdett el recsegni ropogni a sebtében összeeszkábált rendszer. Az egyik felhasználó például egy rém egyszerű trükkel 50 forintért vett magának bérletet, de csak azért ilyen drágán, mer nem volt pofája egy forintot beírni a kódba. Azonnal jelezte a BKK-nak hogy a rendszer nem hibátlan, ahogy mások is: az Index például arra bukkant rá, hogy egyszerű szövegként küldik ki az elfelejtett jelszót, felhasználónévvel együtt. A Twitteren a regisztrációkor használt Captcha rendszert szedik ízekre, amely azt hivatott ellenőrizni, hogy nem egy gép, hanem egy igazi ember végzi el a regisztrációt.

A BKK természetesen nem megköszönte a jelzéseket, hanem sértetten azzal vágott vissza, hogy 

A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni.

Ami persze jól hangzik, meg minden, csak éppen nem igaz, mert azok a módszerek, amiket a felhasználók használtak, kimerültek a böngésző címsorában látható kódban elvégzett módosításokban, illetve nem mi hekkeltük meg a rendszert, hogy a jelszavunkat sima szövegfile-ban küldje ki, hanem a fejlesztő volt annyira hanyag és felelőtlen, hogy ilyen elképesztő baklövést kövessen el. És akkor még nem is tudtuk, hogy a baj ennél sokkal súlyosabb.

Tumblren írta egy júzer, hogy egy olyan biztonsági résre akadt, amire bárki rábukkanhat, nem kell hozzá programozói tudás, csak egy régebbi böngésző, és máris be lehet lépni bárkinek a fiókjába, ahonnan a személyes adatokat simán ki lehet szedni. A BKK kedvéért: copy-paste, azaz másolásos módszerrel, de működik a toll és papír, sőt, a screensot készítés is. Ameddig az ilyen szintű biztonsági hibákat nem javítják ki, a rendszert mindenki csak a saját felelősségére használja. 

UPDATE: egy olvasónk jelezte, hogy a BKK nem tud a legutóbbi biztonsági hibáról, de most már jegyzőkönyvezték a panaszt, és 30 napon belül válaszolnak rá. Ez azért érdekes, mert a fentieket a Facebookon egy zárt csoportban közzétevő felhasználó többször telefonált a BKK-nak, és igyekezet jelezni nekik, hogy gáz van, de "elhajtották" és ezt követően, este kilenc után, kétségbeesésben kért segítséget az általa ismert szakmai fórumokon. 

ÚJABB UPDATE: Egy másik olvasónk azt jelezte, hogy nem tudja törölni a rendszerből a fiókját, vagy a személyi okmányának adatait.