[banner]…[/banner]
Oltre 45.000 persone hanno lasciato una recensione negativa nella pagina Facebook della Budapesti Közlekedési Központ (BKK), l’azienda che si occupa della gestione della rete metropolitana della città ungherese di Budapest.
Le tante reazioni negative fanno seguito all’arresto di un 18enne che ha semplicemente segnalato una falla nel sistema per la vendita online dei biglietti. Il ragazzo ha attivato la modalità sviluppatore del browser, modificato il sorgente e scoperto che era possibile modificare a piacimento il prezzo dei biglietti. I sistemi non hanno previsto un meccanismo di validazione client-server e l’operazione poteva essere portata a termine senza problemi. A dimostrazione del problema, il ragazzo ha acquistato un biglietto venduto normalmente 9459 fiorini ungheresi (circa 30,00 euro) per 50 fiorini ungheresi (0,0016 euro).
Il teenager, il cui nome non è stato rivelato, ha segnalato il problema alla BKK ma questi, anziché ringraziare, l’hanno segnalato alla polizia e sporto denuncia, accusando il ragazzo di avere tentato di hackerare i loro sistemi.
Il ragazzo è stato arrestato nel cuore della notte, anche se non vive a Budapest (a poco sarebbe stato utile il biglietto in questione) e nonostante non abbia usato a scopi fraudolenti quanto scoperto.
Errore ancora più grave da parte dei dirigenti di BKK che nel corso di una conferenza stampa si sono vantati di avere “beccato” il ragazzo, dichiarando i loro sistemi “sicuri”. A quel punto su Twitter in tanti si sono scatenati e hanno cominciato a rendere note moltissime falle.
Nuovi dettagli sulla vicenda sono cominciati a circolare e, tra questi anche il pagamento di circa 1 milione di dollari l’anno pagati per la messa in sicurezza di un sistema, hackerabile in modo banale da un dilettante. Beneficiaria del pagamento annuo per la messa in sicurezza del sistema è l’azienda T-Systems che, ironia della sorte, ha anche sponsorizzato un contest “etico” per l’hacking dei loro sistemi.
Nel frattempo sulla pagina Facebook dell’azienda stanno comparendo decine e decine di messaggi di solidarietà a supporto del teenager. Dopo messaggi di vario tipo, in tanti ora stanno incollando lo stesso identico tipo di messaggio:
I am an 18-year-old, now middle school graduate. Perhaps that which differs from the average, is that I trust that I can help solve a mistake.
I discovered last Friday that I could take a monthly ticket for 50 for the new internet e-ticket system in BKK, and then informed them about two minutes later. I did not use the ticket, I do not even live near Budapest, I never traveled on a BKK route. My goal was just to signal the error to the BKK in order to solve it and not to use it (for example, to sell the tickets at a half price for their own benefit).The BKK has not been able to answer me for four days, but in their press conference today they said it was a cyber attack and was reported. I found an amateur bug that could be exploited by many people – no one seriously thinks an 18-year-old kid would have played a serious security system and wanted to commit a crime by promptly telling the authorities.
I am convinced that if I do not speak about the error, I will not report it. My hire was canceled only after I sent my letter to them.
I would like to publish this post without my name and identity. I ask you to help by sharing this entry with your acquaintances so that the BKK will come to a better understanding and see if my purpose is merely a helper intention, I have not harmed or wanted to harm them in any way. I hope that in this case the BKK will consider withdrawing the report