Mi a véleményetek a BKK-s online jegyvásárlós botrányról?

Utána olvastam a történetnek, és a válaszokat is elolvastam...

1.: "a forráshoz nyúlt": milyen forráshoz? A kliens-oldali forráshoz? Nos ahhoz akárhogy is nyúlkál (bárki megteheti: jobb egérgomb/forrás megtekintése), különösebb kárt nem fog vele okozni! Máskülönben meg nem hinném, hogy behatolt a szerverre és a szerver-oldali forráskódhoz nyúlkált volna, hiszen ahhoz komolyabb tudás is kellene!

2.: "...az URL kérések GET metódusok amik Response-t eredményez, amik csak lekérnek lényegében": nos ekkora hülyeséget is régen olvastam már, ugyanis:

[link]

Ahol látszik is, hogy mi a "különbség" a GET és a POST között, a lényeg, hogy mind a két esetben adatokat küldünk a szerver-nek, amely ennek megfelelően vagy információt küld vissza, vagy (és ez a lényeg) a küldött információ alapján változtatásokat eszközöl a szerveren, vagyis így lehet elképzelni, amit csinált a gyerek:

URL:

http:// ... /bkk/vasarlas.php?tipus=haviberlet&ar=9500

...és átírta az URL "ar" paraméterét, ehhez tényleg nem kell diploma! :-)

Majs figyeljétek meg, a vége az lesz a történetnek, hogy a BKK felkéri a gyereket, hogy csináljon egy biztonságosabb rendszert... :-)

Szerintem az a legnagyobb g.e*ciség az egészben, hogy 25 000 000 Ft-ot havonta zsebretesz az egyik cég azért, hogy ez a rendszer üzemel.

Ma hallottam, hogy valamelyik s.z*aralak politikus reklamált a "bérplafon" miatt, ami korlátozta volna a politikusok havi fizetését 2 000 000 Ft-ban, ami egy évben is sok lenne nekik azért amit csinálnak.

Szóval reklamált, miszerint a jó munkát igenis meg kell fizetni... ...naja, de nem ennyire! Ugyanis közületek is akik dolgoznak, biztosan vannak, akik jó munkát végeznek, de mégsem kapnak 5 000 000 Ft-ot havonta!

#25:

Normális használati körülmények között a felhasználó nem nyúl a kliens oldali forráshoz/nem generál egyedi (a normális használati keretektől eltérő) GET metódusú URL-kéréseket sem. Akárki azért ilyet nem csinál.

Aki ilyet csinál az a "jogosultsága kereteit megsérti" (sem a BKK, sem a T-Systems nem kérte fel a biztonsági tesztre) - és ha pláne ezzel olyan információkhoz jut, amivel kárt is tudna okozni (a srác nem az olcsóbb jegyvásárlást fedezte fel, hanem hozzájutott a felhasználói adatbázishoz, benne a felhasználók összes személyi adatával: [link] ), akkor viselje tettének következményeit (mentségére legyen szólva, hogy nem akart kárt okozni).

"mentségére legyen szólva, hogy nem akart kárt okozni"

Épp ez az. A mentséget az ügyészség vagy a bíró mérlegelheti, és nyilván mérlegelni is fogja.

#26-nak:

Érdekes a cikk (kép), amit belinkeltél, az olvasottak alapján véletlenül adta ki a rendszer az admin adatait... ...és ő is írja, hogy a "szomszéd pistike" is megtalálhatta volna!

"Aki ilyet csinál az a "jogosultsága kereteit megsérti""

Ez az általatok vázolt helyzetben történetesen nem áll fenn, ehhez ugyanis autentikáció vagy autorizáció megkerülése, vagy ahogyan a törvény fogalmaz, "az információs rendszer védelmét biztosító technikai intézkedés megsértése vagy kijátszása" szükséges; az oldal gyakorlatilag szöges ellentétben áll az "információs rendszer védelmét biztosító technikai intézkedés" fogalmával, egy az orrod előtt lógó érték átírása pedig nem játszik.

Ha figyelmesen elolvasod a vonatkozó paragrafust, feltűnhet, hogy erősen gumitörvény-jellegű, és könnyedén lehet rá mondani szénát is, szalmát is.

Példának okaért a paragrafus első pontja kimondja, hogy az általa tiltás alá vett cselekmény feltétele a jogosulatlan belépés, amelyről itt nem lehetett szó. Mindemellett azért nem olyan borzasztóan nehéz szándékosan máshogyan értelmezni sem.

Az ügyvédek és ügyészek éppen azzal keresik a kenyerüket, hogy mindent meg lehet magyarázni és annak az ellenkezőjét is.

Hogy a kérdésre is válaszoljak, szégyenteljesnek érzem, hogy az IT piac egy ekkora szereplője ennyire szakmaiatlanul és etikátlanul járjon el, ráadásul a történet kulcsfigurái szemrebbenés nélkül állítsák be magukat továbbra is közülünk valónak.

Mindazonáltal leszögezném, hogy a bérletárral machináló srác iszonyatosan amatőr módon járt el, aminek folyományaképpen tulképp önként rohant tátott szájjal a f4szerdőbe.

Illúzióim nincsenek, nyilvánvaló, hogy az indítéknak legalább olyan jelentős részét képezhette a fiatalos lendület, mint a nyilvánosság előtt be is vallott segíteni akarás, az eset általános érvényű tanulsága összességében mégis az, hogy mindegy, milyen jók a szándékaid, mennyire segíteni szeretnél, úgyis mindig akad legalább egy bürokrata idióta, aki megánuszoltatna.

Ha valaki mindenáron ki akarja próbálni, mennyire ub3r1337h4xx0r, első körben tegyen meg mindent annak érdekében, hogy ne találhassák meg, vagy méginkább keressen magának CTF-et vagy wargame-et és élje ki ott magát.

"Ez az általatok vázolt helyzetben történetesen nem áll fenn, ehhez ugyanis autentikáció vagy autorizáció megkerülése, vagy ahogyan a törvény fogalmaz, "az információs rendszer védelmét biztosító technikai intézkedés megsértése vagy kijátszása" szükséges;"

Nem szükséges. Ez egy teljesen külön bekezdés (az általad említett dolgot az 1. bekezdés tartalmazza, az általunk említettet meg a 2b.), külön büntetési tétellel (az általad említett dolog vétség, míg a mi általunk említett bűntett).

Elegendő csak a "információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztatnia".

Például egy DDOS támadás is büntetendő, hisz "az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza" - lásd 2a. bekezdés - és ahhoz sem kell autentikáció.