Több ezer felhasználó adatait lophatták el a BKK rendszeréből

Valamivel több mint egy hete startolt el a BKK online jegyértékesítő rendszere, amelyet a T-Systems üzemeltet. Most pedig 3481 felhasználó minden megadott adatát tartalmazó csomagot juttattak el a 24.hu birtokába. Az adatbázis július 16-i keltezésű, és nagyon úgy tűnik, hogy

a shop.bkk.hu-n regisztrált felhasználók teljes neve, felhasználóneve, e-mail címe, az igazolványuk típusa és száma szerepel benne.

Ez azoknak a felhasználóknak nem túl jó hír, akik a BKK július 13-án elindult online bérletvásárló rendszerébe a működésének első három napja alatt regisztráltak be.

Az online lap az adatokat - törvényi kötelezettsége szerint - átadta a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, az adatvédelmi hivatal összevetése igazolhatja majd minden kétséget kizáróan az adatok valódiságát.

A 24.hu-hoz eljuttatott adatbázis részlete:

Forrás: 24.hu

A NAIH elnöke, Péterfalvi Attila az online lapnak azt mondta, miután választ kapnak a BKK-tól, hogy milyen adatvédelmi incidens történt, azután döntik majd el, hogy vizsgálati vagy hatósági eljárást indítanak az ügyben.

- mondta Péterfalvi.

A BKK-t természetesen kereste a 24.hu kérdéseivel, többek között arra voltak kíváncsiak, hogy kell-e a regisztrált felhasználóknak aggódniuk személyes adataik védelme miatt, azonban a BKK sajtóosztálya azt nyilatozta,

csak akkor tudnak információt adni, ha lezárult a vizsgálat, amelyet a kialakult helyzet tisztázására Tarlós István főpolgármester rendelt el.

Eközben a T-Systems Magyarország kommunikációs osztálya azt közölte, folyamatosan vizsgálják a sajtóban megjelent "híreszteléseket", de "az eddigi vizsgálatok alapján jelenleg nincs tudomásunk az online jegyértékesítési rendszerrel kapcsolatos adatvédelmi incidensről; nincs tudomásunk arról, hogy bármely személy személyes adatai illetéktelenekhez juthattak volna".

Az adatbázis másik részelte - Forrás: 24.hu

Az BKK rendszerében több hibát is felfedeztek, az egyik a személyes adatok tárolása.

A 24.hu azt írja, a regisztráció után a felhasználónevet és a jelszót ugyanabban az e-mailben küldték vissza a felhasználónak (amit soha nem szabadna, hiszen így rögtön kiderül, melyik jelszóhoz melyik felhasználónév tartozik). A publikusan elérhető naplófájlokban ugyan volt egy bizonyos szintű védelem, de egy elavult MD5 (hash) módszerrel titkosították azokat.

Az így titkosított szövegeket azonban ma már viszonylag könnyen vissza lehet fejteni a megfelelő programok segítségével.

Ezenkívül feltárták, hogy a BKK jegyrendszerének adatbázisait nyilvánosan hozzáférhető könyvtárba mentették, így ezeket megszerezve könnyen visszafejthették az egyszerűbb jelszavakat. Ez azért nagyon problémás, mert sokan ugyanazt a jelszót használják mindenhol - a Facebookon, vagy a Gmailen is, tehát az e-mail és a jelszó birtokában azt is feltörhették. A harmadik hiba pedig, hogy nem ellenőrizték a kívülről bejövő adatokat, hanem csak szimplán elfogadták - ez tette lehetővé, hogy a jegyárakat manipulálni lehetett.

Forrás: 24.hu, címkép: Pixabay