ストーリーがソーシャルネットワークを介して広まると、関連する企業(新しいシステムオペレーター、ブダペストトランスポートオーソリティ、略称Hungarian VKK)、および開発とサポートを担当するT-Systems HungaryのFacebookページに1つ星のレビューが数万件表示されました。電子旅行システム。 T-Systems Hungaryは、ドイツテレコムの子会社であるTelekom Hungaryが所有しています。T-Systemsの商標もDTが所有しており、ヨーロッパ全土で非常に大きなプレーヤーです。
話は数週間前、VKKが電子旅行カードのモバイル版の発売を発表したときに始まりました。 私も含めて誰もが熱狂的で驚きました。 私たちは、目に見える結果なしで4年間NFC /スマートカードベースのシステムで作業していることを既に知っていましたが、400万ユーロ以上を費やしました。 私の頭に浮かんだ最初の質問は、「速報、うわさ、うわさなし」と「詐欺防止と認証メカニズムをどのように実装するのだろうか」でした...
最初の質問に対する回答、少なくとも部分的な回答-彼らは、現在ブダペストで行われているFINAチャンピオンシップの開始前にシステムを起動したかったのです。 さらに、彼らは選手権の公式オープンの日(7月14日)にシステムを起動することを計画しました。 ちょっと臭い? まず、開発された公共交通システムと170万人の居住者がいる大都市で、深刻なテストなしでそのようなシステムを起動しないでください。 第二に、膨大な数の観光客を都市に引き付けるイベント中にこのようなシステムを起動しないでください。 そして第三に、チャンピオンシップの開始の数日前にシステムを利用可能にすると良いでしょう。 多くの訪問者が少し前に到着します。
しかし、2番目の質問はさらに興味深いものです。システムを安全にする方法は? 知られていたのは、システムがオンライン、ウェブ、つまり アプリケーションをインストールする必要はありません。 もちろん、これは保護をさらに興味深いものにします。
打ち上げ日に起こったことは、ソビエト時代の中央ヨーロッパ(東部)の小さな国で生まれたプログラマーにとっても予想外でした。 もちろん、問題がありました。もちろん、チケットは他のデバイスに簡単にコピーできましたが、これらは単なる花でした。 発見したものは次のとおりです。
- パスワードを忘れた場合、システムはパスワードをクリアテキストで保存し、電子メールで送信します。 これは、ほとんどの人にとって、システムにアクセスできる人も自分の電子メールにアクセスできることを意味します(正直なところ、ほとんどのユーザーはどこでも同じパスワードを使用しています)。
- ユーザーは、URLを変更するだけで他のユーザーのデータを見ることができます。 アプリケーションにアクセス制御システムがまったくありませんでした。 人々は、他のユーザーのプロファイルにアクセスできると不平を言いました。 はい、登録中に名前、姓、住所、文書番号を示す必要がありました。 そして、このデータはチケット管理者に提示されなければならなかったため、それは本物でなければなりませんでした。
- URL(shop.bkk.hu)を入力したばかりの場合、サイトは開かれませんでした。 最初は落ちたと思っていましたが、httpからhttpsにリダイレクトしなかったことがわかりました。 そしてそれは数日間続きました。 あなたはそれについて聞いていない場合は、単にシステムを使用できませんでした。
- 誰かが管理者パスワードがadminadminであることを発見し、このアカウントを使用してログインできました。
- もちろん、チケットは簡単にコピーできます。ユーザーは、チケットのコピーを10回使用して、制御システムをどのように通過したかを示すビデオを投稿しました。 コントローラはQRコードスキャナーを2回しか使用しませんでした(ほとんどの場合スキャナーがありませんでした)が、それでも疑わしいものは見つかりませんでした(何らかの理由で驚くことではありません)。
- 面白いことに、購入したチケットの価格を設定できます。
後者の脆弱性は18歳の若い男性によって発見されました。 この話は彼女から始まりました。 彼によると、彼はプログラミングの方法すら知らなかった(彼はこの秋に大学に入った)。 彼は、ブラウザに組み込まれたWeb開発者ツール(誰でも利用可能)を使用し、購入時に価格がサーバーに返送されたことを確認し、変更しようとしました。 毎月のパスの費用は9,500フォリント(約30ユーロ)で、価格を50フォリントに設定しました。 購入が成功したことの確認とチケットを受け取ると、彼はすぐにVKKに深刻な問題があることを電子メールで書きました。 これに対して、彼は自分の旅行カードがキャンセルされたことを知らせるメールのみを受け取りました-それだけです。 そして、彼らがマスコミでこれについて書いて、上記の脆弱性の大規模な議論が始まったときだけ、VKKはT-Sytemsと一緒に、彼らのロバを緊急にカバーしました。 彼らは大規模なハッカー攻撃を報告し始めました、社会はそのようなシステムに対して十分に成熟していないこと、任意のシステムが壊れる可能性があることを示しましたが、ファイアウォールは多くの攻撃を防ぎ、ユーザーは登録時にわいせつな名前を使用し、削除する必要がありました、など。
あるT-Sytemsの代表者は、翌日の記者会見で、バグレポートを受け取ったことを喜んでおり、そのようなレポートを1つ受け取ったと述べました。これは、違法ハッキングの試みです。 彼はSQLインジェクションを攻撃する試みについて言及しましたが、18歳の「ハッカー」であり、メールを書くのに十分な愚かさであることがわかりました。
一週間後、ニュースは彼が自宅の警察官に拘束されたと報告した(そして数時間後に釈放された)。 もちろん、働く民主主義のある通常の国では、違反の疑いがあると主張する人は、その後の警察の行動について責任を負いません(少なくとも感謝を言う)。 しかし、そのような国では、警察は社会に脅威を与えない誰かの捕獲に満足していません。 特に違法な場合。 しかし、ハンガリーではまだ違法です。 彼らがそれをした唯一の理由は怖がらせることです。
その結果、すべての参加者にとって、すべてが非常に悪く見え始めます。
- VKKは幼稚園のエラーであふれたシステムを注文し、委託しました。 ほとんどの平均的なジュニア開発者は、数週間でより良い文章を書くでしょう。
- T-Systemsは、通常書かれていたとしても、正常に機能しないソリューションを開発することに同意しました(ほとんどの場合、不可能な時間に)。 (私は彼らがチケットをコピーできないようにするタスクを持っていなかったと思います)。 そして、彼らはそれを開発しました。 そして、マニュアルの誰かが「OK、リリース」と言った。
- VKKは、システムサポートに対してTシステムズに月額8万ユーロを支払います。 とても興味深いです、なぜなら システム全体をゼロから適切に実装するには8万で十分です。 まあ、2、3倍の8万人、マネージャーを2人追加すると、少しのテストと少しのキックバックが発生します。
もちろん、FINAチャンピオンシップのリリースをリリースすることが急務だったのはなぜですか。 VKKの従業員については忘れましょう。 この組織は政治的に推進されています。 しかし、通常の管理者がこのゴミをリリースできるようにするにはどうすればよいでしょうか? チームのエンジニアの1人が、経営陣に何か問題が起こっていると言っていませんでしたか? 信じがたいです。
繰り返しますが、それはFINAに関連していましたか? なぜこれらの人はとても失礼だったのですか? ハンガリーでは、人々はそのように扱われることを本当に嫌います。 特に政治家が関与している場合。 そして、脆弱性を主張した男に対するこの不当な圧力について。 法律では、彼がしたことは違法ではありません。 彼はシステムへの「不正な影響」を報告しました。これは「情報システムを使用した詐欺行為」の段落でカバーされていますが、そこに記載されている条件は満たされていません。 どのキャストが警察が正しく行動したのか(またはT-Systemsが持っていたすべての情報を報告しなかったのか)疑っています。