Kipróbáltuk: mobiljegy a BKK-ra

Elindult a budapesti közlekedésre szóló bérletek és jegyek egy részének értékesítése, írja a BKK honlapja. Július 13-tól az online felületen keresztül is lehet vásárolni teljes árú és tanuló, félhavi és havi Budapest-bérleteket, továbbá 24, 72 órás és hetijegyeket, de a további termékek online megvételével még várni kell egy ideig.

A vásárlás a BKK Online Shopból indítható, amelyhez először regisztrációra van szükség - a néven, számlázási adatokon, jelszón kívül valamilyen "személyazonosításra alkalmas, hazai vagy nemzetközi okmánnyal" együtt, úgy mint eSzemélyi, vezetői engedély, útlevél, személyi igazolvány vagy diákigazolvány. Ezt követően az automatás vásárláshoz hasonlóan a felhasználónak ki kell választani a szükséges jegyet vagy bérletet, illetve megadni az érvényesség kezdő dátumát, majd pedig kifizetni a terméket. A fizetés viszont az Online Shopban csak bankkártyával történhet.

_{Online jegyvásárlási felület a BKK Online Shopban}

Ebben az esetben csak elektronikus számla készül, továbbá a felhasználónak sem a jegyét, sem a bérletét nem kell kinyomtatnia, hanem az okostelefonján kell belépni a Web Bérlet felületre minden nap, ugyanis a szöveg szerint "naponta egyszer az ügyfélnek frissítenie kell" az oldalt. Az Általános Szerződési Feltételek többek közt azt is tartalmazza, hogy a bérletek cseréje nem lehetséges, és a megvásárolt bérlet nem váltható át papíralapúra.

A jegy vagy bérlet bemutatásához a közlemény szerint bármilyen típusú operációs rendszerrel rendelkező okostelefon megfelelő, a lényeg inkább hogy internetkapcsolattal rendelkezzen, és a felhasználó minden nap frissítse azt a napi első utazása előtt, mivel ekkor töltődik le az aznapi utazási jogosultság és a csalások megelőzésére szolgáló biztonsági elemek. A webes felület viszont "csak a vizuális megjelenítést szolgálja", ezért a vásárlónak az utazáshoz a rendszerben megadott személyazonosító okmányt mindig magával kell vinnie - ez nem újdonság, a személyre szóló bérletek most is igazolványhoz kötődnek, ezt folytatja a webes verzió is.

Az Online Shop külön adatkezelési tájékoztatóval is rendelkezik, amelyben a BKK arról ír, hogy "elkötelezett utasai személyes adatainak védelme mellett, és kiemelten fontosnak tartja utasai információs önrendelkezési jogának tiszteletben tartását". Ennek érdekében az adatokat bizalmasan kezeli és megteszi a szükséges biztonsági, technikai és szervezési intézkedéseket a rendelkezésre állás a "feljogosítottak számára", az adatkezelés hitelessége, az adatintegritás és az adat bizalmassága érdekében. A tájékoztató kiköti, hogy az adatvédelem érdekében biztosítja, hogy az adatok "közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők", de ennek módját nem részletezi.

_{BKK online jegy- és bérletváltás folyamata}

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

Ellenőrzéskor a BKK ellenőrei a személyazonosító okmányt nézik meg, illetve a webes felületen megjelenő QR kódot "az erre a célra szolgáló kézi ellenőrző készülékekkel". A rendszer a leírás szerint azonnal visszajelzést küld arról, hogy a jegy vagy bérlet bemutatója valóban rendelkezik-e "érvényes utazási jogosultsággal", bár a kételkedők szerint a csalók meg fogják tudni kerülni ezt a módszert is. Főleg, hogy azokon a járatokon, ahol elsőajtós felszállási rend van, továbbá a metróbejáratokon és a hajójáratokon elegendő a mobiltelefonos kód felmutatása, amely elméletileg az ellenőr számára egyértelműen jelzi az aznapi jogosultságot.

Nyáron a rendszer csak "bevezetési időszakban" van, és a fejlesztők folyamatosan alakítják a rendszert a tapasztalatok és a felhasználók véleménye alapján, hogy a szeptemberi hivatalos indulásnál már kevesebb technológiai és használati probléma merülhessen fel.

A gyakorlatban

A folyamatot PC-ről kezdtük meg, a böngészőben felkeresve a shop.bkk.hu oldalt regisztráltunk és felvittük a felhasználót. A rendszer csupán olyan alapvető adatokat kérdez, mint bármely másik webshop, így meglehetősen egyszerűen végigzongorázható. A regisztrációtól fogva már él is a webapp és megfelelően mutatja, hogy nincs aktív bérlet. Jó hír egyébként, hogy a rendszerbe tényleg fel lehet vinni a teljes családot és egyetlen közös felületről kezelni mindenki bérleteit - családapák és -anyák számára ez biztos megkönnyebbülés lesz.

Nosza, vegyünk bérletet. Ennek már mobilról futottunk neki, ez sokkal életszagúbb, mint PC-ről vásárolgatni. A folyamat pont olyan egyszerű, mint minden normálisabb webshopban, minden állomás mobilra optimalizált, az OTP fizetőkapuján keresztül lehet kártyával fizetni. Ezt követően két emailt is küld a rendszer, egy a vásárlás normális visszaigazolása, a másik pedig a teljesen hivatalos PDF e-számlát tartalmazza.

Lássuk, hogy is néz ki a bérlet! Na az első körben nem derült ki, a webes app ugyanis naponta tényleg egyetlen egyszer frissül, amikor legutóbb megnyitottuk, akkor pedig még nem volt érvényes bérlet, így maradt is ez a képernyő - hiába vettünk közben egyet. Némi bosszankodás és hibakeresés után végül a mobilos Chrome-ban kellett a shop.bkk.hu oldalhoz tartozó letárolt adatokat (gyorsítótár, cookiek, stb.) törölni, így új bejelentkezés után már a helyes állapot jelent meg, büszkén jelezve, hogy van bérlet! A megoldás egyébként egy modern, Progressive Web App formáját mutatja, kiszúrható ikonként a kezdőoldalra is, innen indítva pedig a Chrome felületét nem is mutatja, csak magát a felületet.

Hibakeresés közben belefutottunk egy meglepően szigorú korlátozásba: az oldalra egyszerre csak egy eszközről jelentkezhetünk be, ha megpróbálunk másikról is, akkor kitilt a rendszer és emailben küld egy azonosító számsort, amivel újra lehet aktiválni a szolgáltatást. Ez meglehetősen fura korlátozás, sok értelmét nem tudtuk felfedezni.

Maga a megjelenítés egyébként követi a bevett, például a San Franciscó-i mobiljegy példáját, tehát a képernyőmentés-másolás ellen mozgó elemmel (ma épp egy, kép alján elzúgó piros villamossal) véd, várhatóan ez naponta változik majd. A képernyő csupa nagybetűvel jelzi, hogy van érvényes bérlet, mutatja annak típusát, a felhasználó nevét és az azonosításhoz használt okmány számát. Ez utóbbit kódolja az egy gombnyomásra előhívható QR-kód, tehát a négyzetes kód sem a bérlet paramétereit, sem egyéb információt nem tartalmaz, kizárólag az okmány számát - ebben a formájában ennek nem sok értelme van.

Jelszót plain textben?

Az Index fedezte fel, hogy a BKK oldala a shop.bkk.hu-s regisztrációnál a jelszót egyszerű szövegként tárolja el. Ezt ellenőriztük, az elfelejtett jelszó linkre kattintva a rendszer tényleg kiküldi emailben az eredeti jelszót, igen, egyértelműen olvasható formában. Ez egy elképesztően súlyos biztonsági probléma, az az IT-biztonsági egyszeregy része, hogy jelszót eredeti formájában soha nem szabad szerveroldalon tárolni, annak csupán egy (erős) algoritmussal készített hash-ét. Az azonosítás pedig a beírt jelszó hash és a letárolt hash összehasonlításával történik, nem a konkrét jelszavak összehasonlításával. Nehéz leírni, hogy ez mennyire amatőr hiba a BKK-nak dolgozó rendszerintegrátor részéről, egyelőre ezért mindenkinek azt javasoljuk, hogy ezen az oldalon semmiképp se adjanak meg olyan jelszót, amit más szolgáltatásban használnak, hiszen egy támadás esetén ehhez azonnal hozzá tudnak férni. A BKK felé jeleztük a problémát, a sajtóosztály válasza szerint a "jelszavak tárolásának metódusát a közeljövőben a megszokott, hash alapú tárolásra fogják cserélni".