Nastolatek zatrzymany za znalezienie luki w systemie

Przedstawicielstwo Transportowe z Budapesztu (BKK) uruchomiło niedawno system, umożliwiający klientom zakup biletów komunikacji miejskiej przez internet. Młody Węgier odkrył przypadkiem, że w menu konsoli przeglądarki jest w stanie zmienić cenę biletu na dowolną. W ten sposób udało mu się kupić miesięczny bilet wart w przeliczeniu około 127 zł za jedyne 0,69 zł. Warto dodać, że nastolatek nie mieszka nawet w okolicach Budapesztu, zatem trudno byłoby mu skorzystać z biletu. W mailu do BKK mężczyzna opisał całą sytuację, dodając, że skoro przeciętny 18-latek potrafi wejść do ich systemu, to powinni bliżej przyjrzeć się kwestii bezpieczeństwa. Przez cztery dni spółka komunikacyjna nie odpowiedziała. Potem urzędnicy zorganizowali konferencję prasową i ogłosili, że doszło do cyberataku. Policja zatrzymała mężczyznę, który po kilku godzinach składania wyjaśnień został zwolniony.
węgry
węgry

węgry
Nie wszyscy hakerzy mają złe intencje (fot. Pixabay)

18-latek opisał sprawę na anonimowym profilu facebookowym, historię nagłośniły media. Wtedy węgierski programista Laszlo Marai wykrył kolejne błędy w oprogramowaniu budapesztańskiego przedsiębiorstwa. Ujawnił też, że hasło do panelu administracyjnego ustawiono jako: “adminadmin”. W notce na blogu Marai ocenia, że T-System, projektujący dla BKK platformę, w rażący sposób zaniedbało podstawowe zabezpieczenia.

T-System podkreśla, że choć rozumie zachowanie nastolatka, to w takich okolicznościach firma nie miała innej możliwości, jak tylko zgłosić sytuację służbom. Jako że pobudki etyczne hakera zostały potwierdzone, przedsiębiorstwo nie wyklucza, że w przyszłości nawiąże z nim współpracę:

Ta sprawa ujawniła, że na Węgrzech nie jest powszechnie znana praktyka etycznego hakowania i być może po części właśnie z tego powodu nie udało nam się szybciej porozumieć. Nadszedł czas na rozpoczęcie społecznego i zawodowego dialogu, dotyczącego kwestii etycznego hakowania oraz ustanowienia odpowiednich regulacji prawnych dla tej działalności. T-System w przyszłości na pewno wprowadzi kilka odpowiednich inicjatyw, np. tzw. bounty bug, czyli program nagradzający hakerów za wskazywanie luk bezpieczeństwa – deklaruje T-System.

Typy hakerów (fot. SlideShare)

Konkursy dla tzw. white hats (czyli “białych kapeluszy”), hakerów, którzy włamują się do firmowych systemów na zamówienie tych przedsiębiorstw, są często organizowane przez gigantów branży. Koncerny testują tak swoje zabezpieczenia. Ile można zarobić, wykrywając luki? Sporo – za zhakowanie Google Chrome pewien 19-latek otrzymał 60 tys. dolarów (około 217 tys. zł), a za złamanie iOS 9 proponowano nawet milion dolarów nagrody. | CHIP