Последние недели выдались нелегкими для компании (BKK, «Транспортного центра Будапешта»). Эта венгерская компания была образована местными властями в 2011 году и с тех пор занимается управлением общественным транспортом, в том числе и продажей билетов. Недавно BKK спровоцировала волну сетевого негатива в свой адрес.
Все началось с того, что 18-летний ИБ-исследователь, который предпочел сохранить свое имя в тайне, обнаружил брешь в онлайновой системе BKK, осуществляющей продажу билетов. Баг был совсем простой: с помощью «инструментов для разработчика» в браузере исследователь внес ряд изменений в исходный код страницы и таким образом сумел обмануть систему, «снизив» цену на билеты. Так как валидация не производилась ни на стороне клиента, ни на стороне сервера, операция прошла успешно. В качестве демонстрации проблемы, исследователь заставил систему BKK продать билет не за 9459 форинтов, а за 50 форинтов.
Хотя подросток не стал эксплуатировать баг далее и честно сообщил об уязвимости в BKK, представители компании предпочли не общаться с исследователем, а подали заявление в полицию, заявив, что их системы взломали. В результате подростка, который даже не живет в Будапеште и не помышлял использовать полученный почти даром билет, арестовали посреди ночи. Позже исследователь подчеркивал в разговоре с местными СМИ, что хотел лишь сообщить о баге и не имел никаких дурных намерений.
Однако представители BKK на этом не остановились. После ареста «взломщика», в середине июля 2017 года, компания провела пресс-конференцию, на которой с гордостью сообщила о поимке хакера, а также назвала свои системы «защищенными». Информация о случившемся попала в СМИ, на Reddit и в социальные сети, а представители BKK лишь подлили масла в огнь, рассказав, что компания тратит на безопасность IT-систем более миллиона долларов в год. Похоже, эти заявления стали последней каплей, потому что после пользователи объявили BKK настоящую войну.
К примеру, информация о других уязвимостях в системах «Транспортного центра» начала появляться прямо в твиттере.
I would like to congratulate the devs / ticket controllers of @bkkbudapest on the rollout of the new e-ticket system. Very secure CAPTCHA! pic.twitter.com/TbkZKaHLwX
— vista (@vista_df) July 14, 2017
Также десятки тысяч пользователей активно «сливают» рейтинг официальной страницы Budapesti Közlekedési Központ в Facebook. Раздел «отзывы» утопает в одинаковых сообщениях, оставленных пользователями со всего мира, которые выражают солидарность с безымянным венгерским исследователем. В настоящее время компания уже получила более 45 000 низших оценок (одну звездочку).
