Последние недели выдались нелегкими для компании  (BKK, «Транспортного центра Будапешта»). Эта венгерская компания была образована местными властями в 2011 году и с тех пор занимается управлением общественным транспортом, в том числе и продажей билетов. Недавно BKK спровоцировала волну сетевого негатива в свой адрес.

Все началось с того, что 18-летний ИБ-исследователь, который предпочел сохранить свое имя в тайне, обнаружил брешь в онлайновой системе BKK, осуществляющей продажу билетов. Баг был совсем простой: с помощью «инструментов для разработчика» в браузере исследователь внес ряд изменений в исходный код страницы и таким образом сумел обмануть систему, «снизив» цену на билеты. Так как валидация не производилась ни на стороне клиента, ни на стороне сервера, операция прошла успешно. В качестве демонстрации проблемы, исследователь заставил систему BKK продать билет не за 9459 форинтов, а за 50 форинтов.

Хотя подросток не стал эксплуатировать баг далее и честно сообщил об уязвимости в BKK, представители компании предпочли не общаться с исследователем, а подали заявление в полицию, заявив, что их системы взломали. В результате подростка, который даже не живет в Будапеште и не помышлял использовать полученный почти даром билет, арестовали посреди ночи. Позже исследователь подчеркивал в разговоре с местными СМИ, что хотел лишь сообщить о баге и не имел никаких дурных намерений.

Однако представители BKK на этом не остановились. После ареста «взломщика», в середине июля 2017 года, компания провела пресс-конференцию, на которой с гордостью сообщила о поимке хакера, а также назвала свои системы «защищенными». Информация о случившемся попала в СМИ, на Reddit и в социальные сети, а представители BKK лишь подлили масла в огнь, рассказав, что компания тратит на безопасность IT-систем более миллиона долларов в год. Похоже, эти заявления стали последней каплей, потому что после пользователи объявили BKK настоящую войну.

К примеру, информация о других уязвимостях в системах «Транспортного центра» начала появляться прямо в твиттере.

Также десятки тысяч пользователей активно «сливают» рейтинг официальной страницы Budapesti Közlekedési Központ в Facebook. Раздел «отзывы» утопает в одинаковых сообщениях, оставленных пользователями со всего мира, которые выражают солидарность с безымянным венгерским исследователем. В настоящее время компания уже получила более 45 000 низших оценок (одну звездочку).

3 комментария

  1. falcon4fun

    24.07.2017 at 20:40

    В следующий раз он найдёт уязвимость у этой компании и продаст ее в «Dark Net». Идиоты в руководстве. Просто эпичные мудаки..

    • Themistocles

      25.07.2017 at 22:13

      Опрометчиво было писать компании у которой нет багбаунти. На хакере была отличная статья про все прелести поиска уязвимостей.

      • john_

        26.07.2017 at 12:50

        Так или иначе он не сделал ничего, за что его можно было бы посадить. Юристы должны с этим спраится, если компания раньше не прогнется от мнения общественности.

Оставить мнение