:

Szerző: Gálffy Csaba

2017. július 26. 16:04

BKK-T-Systems botrány: tragédiába fulladt a komédia

Sietség okozhatta a gyenge műszaki színvonalat az átadáskor. A T-Systems továbbra sem ismeri el az adatlopást, de a bizonyítékok ebbe az irányba mutatnak.

Valószínűleg a sötét weben forog már a több ezer, BKK Shopban regisztrált naiv felhasználó személyes adata - szűrhetjük le jelen állás szerint a következtetést a 24.hu által korlátozottan publikált információk alapján. A lap birtokába jutott adatok azt sejtetik, hogy legalább egy támadónak sikerült személyes adatokat tömegével kinyernie a T-Systems által fejlesztett mobiljegyes rendszerből - ugyanakkor az adatlopás tényét a cég továbbra sem hajlandó elismerni és arról tájékoztatni az ügyfeleket.

Az előzményekért ezt a cikkünket érdemes fellapozni.

Konkrét veszélyhelyzet lehet

A karba tett kéz egyszerűen nem opció akkor, amikor a felhasználók személyes adatairól van szó. Egy bizonyos pontig érthető volt a T-Systems és a BKK bezárkózó kommunikációja, mindkét szereplő igyekezett védeni saját márkáját és csak erőteljes közösségi nyomásgyakorlásra (az emlékezetes facebookos lepontozásra) nyílt meg mindkét vállalat vezetője, és kért a hétvége folyamán elnézést a felhasználóktól.

A hét elején kikerült információkkal viszont egészen új helyzet állt elő - olyan, amit eddig csak sejtettünk, de tények, bizonyítékok hiányában nem írtunk le: a T-Systems és a BKK vezetőinek többszöri cáfolata ellenére úgy tűnik, hogy a rendszerben tárolt adatokat külső szereplőnek sikerült tömegesen letöltenie. Sajnos a valószínűleg ellopott adatokhoz a HWSW nem nyert hozzáférést, így független forrásból azok hitelességét nem tudtuk megerősíteni, ezért egyelőre csak valószínűsíteni tudjuk, hogy azok tényleg a BKK és a T-Systems közös rendszeréből az elmúlt napokban kikerült felhasználói adatbázist tartalmazzák.

Hallgat a T-Systems

A HWSW többször próbálta felvenni a kapcsolatot a T-Systems sajtóosztályával, a cég azonban mereven elzárkózott attól, hogy a 24.hu által bemutatott adatbázis eredetiségét elismerje vagy cáfolja, kizárólag azt a sajtóközleményt kaptuk mi is meg, amit az összes többi médiumnak elküldött a cég. Eszerint a cég "a lehető legkomolyabban vesz minden olyan jelzést amely adatvédelmi incidens lehetőségére utalhat és minden ilyen jelzést haladéktalanul kivizsgál. (...) Az eddigi vizsgálatok alapján jelenleg nincs tudomásunk az online jegyértékesítési rendszerrel kapcsolatos bármely adatvédelmi incidensről, nincs tudomásunk arról, hogy bármely személy személyes adatai illetéktelenekhez jutottak volna" - mondja a T-Systems Magyarország.

Ez az álláspont teljesen ellentmond a 24.hu értesüléseinek, a lap munkatársai több adatpontot is sikeresen ellenőriztek a hozzájuk eljutott adatbázisban, mielőtt azt törölték volna - így a szúrópróbák alapján valódi adatokat (például személyi igazolvány számát) tartalmazó listáról van szó. A fenti kérdéseket jelen pillanatban kizárólag a T-Systems és a BKK tudná eldönteni, azonban a két szervezet nem követi az általános iparági gyakorlatot és továbbra is kizárólag a márkájának védelmével foglalkozik.

A vásárlás menete...

...és a mobilos jegy.

Törvény ugyan nem írja elő, de a tisztesség, az etika és a felhasználók védelme viszont megkövetelné, hogy ilyenkor az adatvesztést szenvedő cég első dolga legyen az adatok hitelesítése vagy cáfolata - ahogy korábban azt kisebb-nagyobb cégek (amerikaiak és európaiak is) megtették. Nem kell részleteznünk, hogy mennyire fontos az, hogy több ezer naiv BKK-felhasználó (köztük a szerző) adatai potenciálisan nyilvánosságra kerülnek - vagy ami még rosszabb, rosszindulatú támadók értékesítik azokat a web sötét oldalán. A regisztrációkor ugyanis a felhasználó olyan adatokat ad meg, mint a név, lakcím, személyi igazolvány száma - ezekkel már nem olyan nehéz megszemélyesíteni egy felhasználót és visszaélni ezzel. A jelszavakról, email-címekről akkor még nem is beszéltünk.

Két kép az adatbázisból - a másodikon az email-címet követi a bcrypt hash (forrás: 24.hu)

A T-Systems feladata pedig meglehetősen egyszerű lenne: a 24.hu által eredetileg közölt két kép egyike egy $2y$10$ kezdetű mezőt mutatott, ez a bcrypttel hash-elt adatra utal. A cég dolga így csak annyi, hogy a néhány hash-t összehasonlítsa a saját adatbázisában tárolt adatokkal, és egyezés esetén ismerje el, hogy ez az adatbázis az adatlopás forrása. Ez ráadásul meglehetősen egyedi, gyakorlatilag nem hamisítható "ujjlenyomat", a képen két tucatnyi ilyen hash szerepel - ezek előállításához a bemeneti stringet (jelszót) és a használt hash függvényt is pontosan ismerni kell (adott esetben a salttal, a forgatások számával, stb.) együtt.

A 24.hu ugyan mára elhomályosította ezeket a mezőket, az eredeti képet a kérdéseinkkel együtt azonban eljuttattuk a T-Systemsnek.

Inkompetencia vagy sietség - második felvonás

A HVG birtokába került levelezés alapján úgy tűnik pont kerül a nagy kérdésre is, miszerint a fejlesztők inkompetenciája, vagy az extrém sietség miatt sikerült ilyen alacsony műszaki színvonalú rendszert élesíteni. A lap megszerezte a T-Systems belső levelezőlistáján kiküldött emailt, amelyben a kollégákat a rendszer tesztelésére kérik meg - mindössze órákkal a hivatalos rajt előtt.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

A HVG által idézett levél szerint "tovább erősítve a T-Systems piacvezető szerepét a közlekedési piacon, a BKK-tól lehetőséget kaptunk, hogy rekord idő alatt (3 hónap) mi készíthessük el annak új Web- és bérletértékesítési rendszerét" - szól a bejelentés. Ez gyakorlatilag megerősíti a korábban a HWSW által megkérdezett szakemberek tippjét, hogy az elképesztően alacsony műszaki színvonalat a sietség okozhatta - egész egyszerűen annyira rövid idő állt rendelkezésre, hogy az iparági best practice-ek megvalósítására nem jutott.

A fentiek alapján a felelősség kérdése is újra felvetődik: a T-Systems, mint kompetens, informatikai fejlesztések tucatjait (százait) maga mögött tudó cég egészen pontosan tudta (vagy tudnia kellett), hogy a megszabott határidővel ez egy gyakorlatilag teljesíthetetlen feladat, egybehangzó vélemények szerint az ilyenkor szokásos köröket képtelenség elvégezni ennyi idő alatt, csak a fejlesztést lezáró kiterjedt tesztelés és biztonsági ellenőrzés felemészthet negyed évet - nem véletlen, hogy a BKK másik, Rigó projektje kapcsán a Kürt Zrt. 234 millió forintnyi biztonsági auditot végez. Egy publikus, könnyen támadható és érzékeny adatokkal is rendelkező rendszernél ez indokolt és megszokott.

Magyarország Alaptörvénye rendelkezik arról, hogy a személyes adatok védelméhez mindenkinek joga van, az Infotörvény pedig részleteiben is tárgyalja ezt a területet. Ez egyértelműen kimondja, hogy az "adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés (...) ellen", ennek betartását itthon a NAIH ellenőrzi. A hatóság a 24.hu megkeresése után vizsgálódik az ügyben és hamarosan dönteni fog arról, hogy indít-e valamilyen típusú eljárást az érintett szereplők ellen.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról