Mellékleteink: HUP | Gamekapocs
Keres
React Native, Kotlin, Flutter, Flux, WebAssembly, Java, Android... + app security. Nettó 20 óra fejlesztői tartalom, HWSW mobile!, november 29-30!

T-Systems: vállaljuk a BKK értékesítési rendszerét

Gálffy Csaba, 2017. július 18. 14:58

"Örömmel vesszük a hibajelentéseket" - mondta Takács József, a BKK új online értékesítési rendszerét fejlesztő T-Systems Magyarország IT-biztonsági igazgatója, majd néhány mondattal később közölte, hogy személyesen tett büntetőfeljelentést az egyik súlyos hibát kimutató és azt bejelentő felhasználó ellen.

hirdetés

Sajtótájékoztatón ismertette a budapesti közlekedést szervező BKK az online bérletvásárlást és -bemutatást lehetővé tévő rendszerrel elmúlt néhány napban szerzett tapasztalatokat. A rendszert fejlesztő T-Systems Magyarország, a Magyar Telekom leányvállalata is képviseltette magát az eseményen, így a sajtó kérdéseit közvetlenül a döntéshozóknak, a BKK vezérigazgatójának, Dabóczi Kálmánnak, a fejlesztést vezetőknek és a városfejlesztéssel foglalkozó főpolgármester-helyettesének, Szeneczey Balázsnak tudták feltenni - értékelendő transzparencia.

Adatok: biztonságban.

Kezdjük az igazán fontos információval: a főváros, a BKK és a T-Systems egybevágó közlése szerint a rendszerből támadóknak nem sikerült adatot kinyerniük, a felhasználók személyes adatai biztonságban voltak és biztonságban is vannak. Ez egyértelműen a legeslegfontosabb kérdés az ügyben, így komoly megkönnyebbülés mindenkinek, hogy az adatok nem kerültek veszélybe.

A kérdésben az BKK-hoz (felhasználóként és magánszemélyként) az Infotörvény szerinti adatvédelmi incidensre vonatkozó tájékoztatást is kértünk, erre a szervezet egyelőre nem válaszolt - erre egyébként 25 napja van, igaz, a törvény a lehető leggyorsabb válaszadást írja elő a szervezetnek.

Botrányos megoldások

Szakmai körökben általános megbotránkozást keltett a T-Systems által fejlesztett rendszer által képviselt műszaki színvonal, ezt a HWSW-nek név nélkül nyilatkozók szerint részben sietség, részben inkompetencia okozhatta. A felmerült hibák között olyan amatőr bakik fordultak elő, mint a sima szövegként tárolt jelszavak (és azok megküldése kérésre a jelszót elfelejtő felhasználónak), vagy a mód, ahogyan a rendszer átadja a banki megbízást a fizetőkapuként használt OTP banki rendszerének - utóbbi ugyanis triviálisan, a kérés átírásával megváltoztatható, egy átgondolt rendszerben erre egészen egyszerűen nem lenne lehetőség. Az említett hibák létezését egyébként a BKK és a T-Systems maga is elismerte.

A fenti hibák szerencsére nem adtak lehetőséget a rendszerben tárolt személyes adatok kiolvasására (legjobb tudomásunk szerint), a BKK-vezér szerint pedig visszaélésre sem került sor. A vállalat álláspontja szerint a beépített visszaélés-figyelő rendszer kijelzett, a próbaképp vásárolt bérletet pedig gyors ütemben érvénytelenítette, így igazából nem lehetett 50 forintért 10 ezer forintos bérletet váltani - más álláspont szerint viszont szó sem volt érvénytelenítésről míg a sajtóban meg nem jelent az eset. Az eset nyomán egyébként a T-Systems a rendszert ért visszaélés miatt büntetőfeljelentést tett, mivel azt rosszindulatú támadásnak tartja.

Hihetetlen: az internet nem jóhiszemű haverok közössége!

A BKK-vezér Dabóczi egyébként kikelt a rendszert próbálgatók ellen, hitetlenkedve mesélte, hogy 150 felhasználót kellett törölni a rendszerből, mert azonosítóként vulgáris vagy gyalázkodó szavakat és kifejezéseket használtak. Emellett kijelentette, hogy a cég csak a megbízással rendelkező, szerződéses viszonyban álló etikus hackerek tevékenységét tűri el, mindenki más, aki hibát keres a megoldásban, a törvény szigorával találja szembe magát.

Érdemes megjegyezni, hogy ezen a gondolkodásmódon az informatika hosszú ideje átlépett, elegendő csak a nagy cégek (Google, Facebook) bug bounty programjaira gondolni: a cégek invitálnak mindenkit az aktív hibakeresésre (bizonyos korlátok között), a hibát bejelentőket pedig busásan meg is jutalmazzák. Hasonló programot a hazai startupok (és poszt-startupok) is üzemeltetnek, a LogMeIn, a Prezi vagy épp a Tresorit is bátorítja a próbálkozókat. Ezekkel a helyzet azért is érdekes, mert  a T-Systems álláspontja így szembemegy a cég kimondott toborzási céljaival.

T-Systems: vállaljuk

Az informatikai megoldást a BKK számára a T-Systems és a Kürt szállítja, utóbbi alvállalkozóként lát el valamilyen ismeretlen feladatot. Érdekesség, hogy a rendszert a közlekedési vállalat SaaS-formában, tehát előfizetéses szolgáltatásként, havidíjas alapon veszi igénybe, ez bizonyos kondíciók mentén mintegy 22-25 millió forintba kerül havonta, évente tehát nagyjából negyedmilliárd forintos kiadást jelent.

A sajtótájékoztatón a T-Systemset két vezetője is képviselte, Lakatos András a közszféráért felelős üzletág igazgató és Takács József, a cég informatikai biztonságért felelős igazgatója. Ők tömören azt ismételték el, amit Dabóczi Kálmán BKK-vezér: a rendszer működik, a felhasználók adatai biztonságban vannak. Lakatos ugyanakkor elismerte, hogy a rajt óta eltelt néhány napban a cég mérnökei beavatkoztak és "emelték a biztonságot".

A HWSW kérdésére Takács elismerte, hogy a rendszert a T-Systems fejlesztette, annak műszaki színvonalát pedig vállalja - arra már nem válaszolt, hogy a rendszer műszaki színvonalát jellemzőnek tartja-e a T-Systems által fejlesztett egyéb megoldásokra is. Takács igyekezett a megoldás implementációjának műszaki színvonalát és biztonságát relativizálni, közölte, hogy "abszolút biztonságos informatikai rendszer nem létezik", a támadások pedig általánosak a cég által fejlesztett-üzemeltetett rendszerek ellen.

A T-Systems képviselői szerint a csütörtök délután elrajtolt rendszer biztonsági szintje nagyjából megfelelt egy átlagos hazai webshop szintjének, a hétvégi közbelépéssel pedig már e szint fölé került. Ez az állítás egészében értelmezhetetlen, egy tömegközlekedési appal szemben nyilván lényegesen komolyabb biztonsági elvárásnak kellene megfogalmazódnia, mint egy "átlagos hazai webshoppal" szemben - elegendő csak megnézni, hogy a Google a New York-i MTA eTix esetében mivel egészítené ki a kifejezést: "hack".

Mindenki számára nyilvánvalónak kellett volna lennie, hogy a BKK értékesítési rendszere, amelyet ráadásul a T-Systems fejleszt és üzemeltet, célpont lesz - jó szándékú hobbi-hackerek és rosszindulatú, visszaélésre játszó támadók számára egyaránt. Ennek ellenére Dabóczihoz hasonlóan Takács is meglepetését fejezte ki, hogy a megoldás ellen "rosszindulatú támadások" indultak szinte azonnal, és sok száz próbálkozást számoltak a cég mérnökei az indulás óta.

Ez egyébként a sajtótájékoztató visszatérő motívuma volt, mind a BKK, mind a fejlesztők konzisztensen rosszindulatú támadásokról beszéltek (amibe amúgy a sajtó is bekerült), azt a benyomást keltve, hogy a vezetők a webre egy jóindulatú, vagy legalábbis semleges közegként tekintenének, nem pedig egy alapvetően ellenségesnek. Egészen szürreális belegondolni, hogy a legnagyobb hazai rendszerintegrátor az internetet nem potenciális támadási felületként kezeli és váratlanul éri, hogy ott esetleg rosszindulatú szereplőkkel érdemes számolni.

Nem az ötlettel van gond

A sajtótájékoztató elején Dabóczi igyekezett az új értékesítési csatorna előnyeit és érdemeit ecsetelni - meghatározandó a kontextust. A szolgáltatás tényleg a világ élvonalába emeli Budapestet az online (vagy akár mobilon) megvásárolható bérlettel, amely ráadásul lehetővé teszi a mobilos bemutatást is. Ezzel a főváros olyan városok nyomdokaiba lépett, mint Seattle, ahol szintén mobilos jegyrendszer működik, nagyon hasonló implementációval. A BKK kezdeményezését múlt héten mi is dicsértük, üdítő fejlesztés a néha stagnáló hazai tömegközlekedés világában. A felhasználói bázis is egészséges ütemben nő, a BKK közlése szerint jelenleg mintegy 5000 regisztrált felhasználó van a rendszerben és eddig nagyságrendileg 800 bérletet vásároltak.

Az ötletet és a működési logikát viszont érdemes elválasztani annak megvalósításától - mert utóbbival kapcsolatban azért vannak problémák, ahogy fentebb is vázoltuk.
Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
React Native, Kotlin, Flutter, Flux, WebAssembly, Java, Android... + app security. November 29-30!