Szerző: TÓTH BALÁZS
2017.07.27.
Több mint egy hete azon pörög a fél főváros, hogy a BKK nagy hirtelen bevezette az online jegyárusítást. A rendszerben azonban komoly biztonsági réseket találtak a kísérletező kedvű felhasználók, és sérült a személyes adatok védelme. Elmagyarázzuk, hogy mi a helyzet.
Hallottam a BKK-s online jegyvásárlásról, hogy valami gond van a biztonsággal. Most akkor vegyek online jegyet-bérletet, vagy maradjak a nyomtatottnál?
Egyelőre érdemes megmaradni a nyomtatottnál, ha a lejárt helyett új bérletet kell venni. Mostanában előfordul, hogy nem működik a shop.bkk.hu oldal, és így nem is lehet új e-jegyet venni.
Mi van, ha már késő, és megvettem a mobilos bérletet?
Folyamatban van az adatvédelmi hatóság vizsgálata, és hamarosan megállapítják, hogy a BKK szerverein biztonságban voltak-e a személyes adatok. A BKK azt mondja, hogy a már megvett jegyekkel és bérletekkel tudunk utazni, ezek érvényességét zavartalanul ellenőrzik.
Miért lenne védtelen bármilyen adatom a BKK-nál? Erős jelszót adtam meg, amit csak én ismerek.
Ezt mondta a BKK is, hogy biztonságban vannak az adatok. Aztán kiderült, hogy a jelszavakat egyszerű szövegként küldték ki a felhasználóknak, és még csak nem is titkosítják ezt az emailt. Ezen kívül volt még egy biztonsági rés, a portálra belépett felhasználók egy kis hozzáértéssel mások személyes adatait is megnézhették.
Én is szövegesen írom fel a jelszavaimat egy cetlire, mégsincs belőle baj
Arra nem is lehet messziről rálátni. A webshopok általában egyirányú titkosítást alkalmaznak, és a konkrét jelszó helyett egy úgynevezett hash-t tárolnak. Ebből nem lehet visszafejteni az eredeti jelszót. A BKK nem így tett.
Mire megy bárki a megszerzett információkkal?
Gondolom valós emailcímet adott meg, hiszen erre várja majd a BKK visszaigazolásait. Na, ez máris egy ideális célpont a spamelőknek. Akár egy hamis BKK-weboldalra is elterelhetik, pont úgy, ahogy most a banki ügyfeleket próbálják kamu oldalakra vinni a bűnözők. Ha ilyen oldalon vásárolna a valódi BKK shop helyett, az olyan lenne, mintha a kezükbe nyomná az összes pénzét.
Az igazolvány számának és a lakcímnek a felhasználása trükkösebb, az igazán súlyos visszaélésekhez a kiberbűnözőknek további adatokra lesz szükségük...
Nincsenek megjegyzések:
Megjegyzés küldése
Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.