Mi a véleményetek a BKK-s online jegyvásárlós botrányról?

Ilyen az, amikor egy "dinoszaurusz" tömegközlekedési vállalat egy másik "dinoszaurusz", multinacionális, informatikai megoldásszállítótól politikai nyomásra, tesztelés nélkül kezd használni egy - valószínűsítem az utolsó pillanatokban összetákolt - rendszert.

Emlékeim szerint volt már hasonlóra példa:

* [link]

* [link]

Vagy nem is oly régen:

* [link]

Ez gyakorlatilag nen is biztonsági rés volt, hanem egy amatőr megoldás, amit még tesztelésre lett volna szabad kiadni, maximum a vevőnek mutogatni, hogy majd így néz ki, a funkciókat meg majd még hozzátesszük.

A scrác ott rontotta el, hogy másnap már szaladt az újságírókhoz, na ezt nem kelett volna.

"A scrác ott rontotta el, hogy másnap már szaladt az újságírókhoz, na ezt nem kelett volna."

Egyetértek. Mentségére legyen szólva, fiatal, szóval nem igazán tudhatta, hogy mi is ilyenkor a teendő.

Sőt ráadásul ő szólt a BKK-nak, akik - az ilyen nagyvállalatokhoz méltóan - ignorálásba fordultak.

"De itt nem volt semmi hackelés, ez a lényeg. Átírt egy változót az url-ben, ennyi volt a bűne. Ehhez nem kell szinte semennyi hozzáértés."

Volt még az elején egy "kommunikatív" hozzászólás a Vevő-Eladó között.

- Evvel nem értek egyet, mivel az Eladó nem egyezett bele, hogy "Ok", hanem csak elfogadta az összeget.

Másrészről hogy az URL-ben átír egy változót, nem opció, mivel az URL kérések GET metódusok amik Response-t eredményez, amik csak lekérnek lényegében. Tehát az állításod nem helyénvaló.

Ennek POST, PUT, PATCH valamelyikének kellet lennie, hogy küldendő értéket változtasd. Ez a request területen tudod babrálni. Amúgy igen. Ehhez lényegi tudás nem kell. Ilyen adatcsomagot Postman chrome-s applikációval is tudsz generálni a semmiből. :)

[link]

"- Evvel nem értek egyet, mivel az Eladó nem egyezett bele, hogy "Ok", hanem csak elfogadta az összeget."

Azt vágod, hogy ez így nem kis ellentmondás? Elfogadta az összeget, tehát azt mondta OK.

Nem nem mondtam ellent magamnak.

Nem mindegy, hogy jóváhagyod, hogy a fizető mennyit szándékozik fizetni, vagy akaratod ellenére annyit fog fizetni.

Míg az előbbi közös megállapodás, addig az utóbbi rákényszerítés.

Igen emberként visszautasíthatod, de itt nem ember az aki ezt ellenőrzi.

# 17/17 Időpont ma 17:09

Baromság. Ha a rendszer elfogadta, onnantól kezdve közös megállapodás. Internetes fizetésnél ez jelenti az OK-t.

Nem ismerem a hiteles történetet, egyelőre nem sokan ismerhetik, csak a különféle sajtótermékek és blogok által szállított, hírhedten megbízhatatlan adatokra támaszkodhatunk.

De ha a srác a forráskódhoz nyúlt, vagy ha a nem felhasználó számára meghagyott hozzáférési csatornán nyúl a szolgáltató gépéhez, az szabálytalanság, a Btk. bűncselekménynek minősíti. Azért kellett azzá minősíteni, mert elszaporodott a jelenség, és a súlyos károk okozása is gyakorivá vált a világon. Tilos, és kész.

Az, hogy a BKK feljelentést tett anélkül, hogy tényszerű kivizsgálást tartott volna a hozzáférések hatásáról, túlzó, hisztérikus reakció volt, ezt magyarázzák ki ők.

Az, hogy a rendőrség a terheltet előállítja, az a kötelességük. Annál is inkább, mert lehet, hogy az illető már évek óta követ el hasonló bűncselekményeket. Ne csináljunk úgy, mintha nekünk ez mindegy lenne. A Szabadságot csak a Rend tudja megőrizni. Ha valaki egy égő házba behatol és kihozza a tévét, akkor sajnos felmerül a gyanúja annak, hogy fosztogat, pedig csak oda akarta adni a tulajdonosnak. Kényes helyzet, és azok miatt lett kényes, akik tényleg olyan rohadt mocskok, akik egy égő vagy elárasztott házat is fosztogatnak. Ha valaki idegességében feljelentést tesz, akkor nincs más lehetőség, a rendőrségnek meg kell lépnie az első előírt lépést.

Hogy miért éjszaka mennek ki? Hát, elég ijesztő dolog, de értsétek meg, előre nem lehet tudni senkiről, hogy ő egyébként rendes ember. A rendőrséget kényelmetlenül, néha nevetségesen szoros szabályok kötik, és nekik is elég bajuk van emiatt. Meg nekünk is, mert valódi bűnözők is el tudják kerülni a felelősségre vonást azzal, ha réseket talál a rengeteg szabály között. Vannak ártatlan áldozatok, de nem lehet azt a liberáns elvet határ nélkül követelni, hogy inkább szökjön meg a bűnös, de soha egyetlen ártatlant se érjen sérelem.

A gyereket egyébként az ijedségen kívül egyelőre, tudtommal, nem érte sérelem. A BKK ezt begyógyíthatja, ha akarja, és persze ha a gyerek tényleg ártatlan.

Hominida, egyetértek, pár kiegészítés:

"De ha a srác a forráskódhoz nyúlt, vagy ha a nem felhasználó számára meghagyott hozzáférési csatornán nyúl a szolgáltató gépéhez, az szabálytalanság, a Btk. bűncselekménynek minősíti."

Igen, ezt nevezi a BTK "Információs rendszer vagy adat megsértésének" ("423. § ... (2) Aki ... b) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.").

Nem teljesen etikus, fehérkalapos hacker (mint azt sok média hangoztatja), mert nem állt szerződésben a céggel/a cég nem adott engedélyt a tesztelésre. Mivel nem okozott különösebb hibát, szürke kalapos hacker, amiknek a megbecsülése eléggé változó.

"Az, hogy a BKK feljelentést tett"

Elvileg a rendszert kifejlesztő T-Systems magyarországi leányvállalata tett feljelentést:

[link]