A BKK-t politikai indíttatású, szervezett informatikai támadás érhette
Sümeghi Lóránt
2017.07.29. 09:28
Szervezett - informatikai és kommunikációs - támadás indult a Budapesti Közlekedési Központ online jegy- és bérletvásárlási rendszere ellen. Az ellenzéki sajtó által etikus hekkerként bemutatott 18 éves fiú az Indexszel együttmûködve indított kommunikációs hadjáratot, felvezetve az utóbbi évek legsúlyosabb informatikai támadását a vizes vb-re idõzítve.
Szinte mindent tudott az Index
Helyreigazítás: a 207. július 29-én a „BKK-t politikai indíttatású, szervezett informatikai támadás érhette” című cikkünkben valótlanul híreszteltük, hogy az Index a Budapest Közlekedési Központ (BKK), illetőleg annak online jegy. és bérletvásárlási rendszere ellen szervezett informatikai és kommunikációs támadást indított egy 18 éves fiúval és más sajtószervekkel együttműködve, a vizes vb-re időzítve. A valóság ezzel szemben az, hogy az Index az eseményekről olvasói jelzések alapján szerzett tudomást, ahogy az a 2017. július 14-én 16 óra 31 perckor közzétett cikkéből tényszerűen kiderül.
Szervezett — informatikai és kommunikációs — támadás indult a Budapesti Közlekedési Központ online jegy- és bérletvásárlási rendszere ellen. Az ellenzéki sajtó által etikus hekkerként bemutatott 18 éves fiú az Indexszel együttműködve indított kommunikációs hadjáratot, felvezetve az utóbbi évek legsúlyosabb informatikai támadását a vizes vb-re időzítve — tudta meg a Magyar Idők.
A lap azt írja, pontos és rögzített eseménysor bizonyítja, hogy szervezett lejáratókampányt indított az ellenzéki sajtó a Budapesti Közlekedési Központ (BKK) online jegy- és bérletvásárlási rendszere ellen.
Ebben pedig tevőlegesen partner volt a rendszert manipuláló, etikus hekkerként elhíresült fiatal is.
Az egész akció a felvezetése volt a vizes vb-vel egy időben debütáló szolgáltatás elleni példátlan erejű informatikai támadásnak. Ugyanis a lap birtokába jutott dokumentumokból kiderül: a 18 éves fiatal a BKK online jegy- és bérletértékesítési rendszerébe annak indulásának másnapján, július 14-én, pénteken
- 12 óra 49 perckor regisztrált be;
- majd 1 óra 49 perccel később, 14 óra 38-kor az ügyfél jogellenes, manipulált vásárlási tranzakciót hajtott végre (a termék árának átírásával — POST requestben — 50 forintért vásárolt havibérletet), amit a szolgáltató T-Systems érzékelt;
- ezt követően 11 perc múlva, 14.49-kor a hekker e-mailt küldött a [email protected] címre, annak ellenére, hogy már a regisztráció során felhívták a figyelmét arra, hogy panasz, megjegyzés küldése kapcsán a [email protected] a megfelelő levelezési cím.
Azonban a rossz címre küldött levél a hekkelés tényének beismerésén kívül fontos önvallomást is tartalmaz:
…a MÁV-nál például teljesen ingyen vehettem jegyet, de a Szerencsejáték Zrt. oldalán is tudtam magamnak pénzt kreálni.”
A fiatalember a levélben még egy szarkasztikus gondolatsort is megengedett magának, a közbeszerzéseket korruptnak kikiáltva, de alul jelezve, hogy ezt nem gondolta komolyan. A hekker azonban rövid időn belül – 22 perc alatt – rájött, hogy rossz helyre küldte a levelét, és a kelleténél több adatot osztott meg benne. A jelentésben az is olvasható, hogy
a 15.11-kor a BKK kommunikációs címére elküldött levélből már kihagyta a más állami társaságok elleni informatikai visszaélésekre való hivatkozást.
A jelentés szerint az utólagos szerkesztést igazolja, hogy a tartalmi törlések ellenére az aláírás alatt ott maradt a közbeszerzésekkel kapcsolatos utalás.
Újabb 22 perc múlva az ifjú hekker tettéről az Index már szinte mindent tudott, mivel a hírportál az eset kapcsán részletes kérdéssorral kereste meg a BKK-t. Az Index a levelében az első, 14.49-kor a hibás címre – [email protected] – küldött írásra utal, nem pedig a hivatalos címre küldött megkeresésre.
Azt mindenképpen meg kell majd magyaráznia a fiatalembernek, hogy miként került az Index az üggyel kapcsolatos információk birtokába ilyen hamar, gyakorlatilag a BKK felé elküldött levelekkel egyidejűleg, vagy már azt megelőzően.
Még egy óra sem telt el a kérdések továbbítása óta, az Index már címlapon hozta: Meghekkelhető a BKK rendszere, bármennyiért lehet jegyet venni.
A 16.31-kor megjelent cikkben a szerző leírja, hogy megkérdezték a BKK-t, de azok még nem adtak választ. A lap mindezt annak tudatában írta le, hogy a társaságnak egy óra sem állt rendelkezésre az információk ellenőrzésére, a válaszok összeállítására és azok jóváhagyására.
A hekker vasárnap és hétfőn is írt még levelet a BKK-nak, hogy miért jelentették fel őt, és hogyan lehetne az ügyet lezárni. A valóságban azonban a BKK senki ellen nem tett jogi lépéseket, a szolgáltató T-Systems Magyarország tett büntetőfeljelentést ismeretlen tettes ellen.
Az ügyben információs rendszer vagy adat megsértésének vétsége miatt indult nyomozás, amelyben e hekkert később bűncselekmény elkövetésével gyanúsították meg. A fiatalember akciója úgy tűnik, csak felvezetés volt, mivel
július 14-én, pénteken példátlan erejű támadás kezdődött a BKK és a webes értékesítési rendszert szolgáltató T-Systems Magyarország szerverei ellen.
Az erről készült jelentés szerint a rendszert több alkalommal szándékos túlterheléses és a sérülékenységre irányuló támadás érte. A szolgáltatást a szervezett támadók harmincszoros terhelésnek tették ki. A másodpercenként keletkező naplóbejegyzések száma az átlagos 300-400-ról 13 ezer fölé ugrott, ami óránként közel 47 millió bejegyzést jelent. Ennek hatására a felhasználók nem tudták elérni rendszert. A dokumentum megjegyzi,
- a BKK és a T-Systems rendszereit felváltva, összehangoltan terhelték;
- a kibertámadás kiterjedt a BKK Infóra és az okostelefonos Futár applikációra is.
Ezért a városvezetés tényként kezeli, hogy az ismeretlen elkövetők káoszt akartak kelteni a világbajnokság idején.
A jelentés szerint ilyen méretű, szervezettségű, technológiai felkészültségű célzott informatikai támadásra évek óta nem volt példa hazánkban. A támadásokat a polgári titkosszolgálatok és a Belügyminisztérium kibervédelmi szervezete is vizsgálja.
EZEK IS ÉRDEKELHETNEK
OLVASTAD MÁR?
MÉG TÖBBET SZERETNÉK
