Ночной рейд и детская ошибка
В Венгрии разворачивается мощный скандал, связанный с действиями местной транспортной компании Budapesti Közlekedési Központ (BKK). По жалобе BKK арестовали хакера, который нашел брешь в билетной системе организации. Сразу после этого он проинформировал BKK о найденной ошибке, приложив доказательства, но вместо благодарности на него подали заявление в полицию. 18-летнего хакера арестовали среди ночи.
Хакер обнаружил, что может получить доступ к сайту BKK. Зайдя внутрь, он перешел в режим разработки (F12 в браузере Chrome) и сумел модифицировать исходный код страницы так, чтобы поменять стоимость билета.
Поскольку валидации ни на серверной, ни на клиентской стороне не производилось, он без труда смог понизить стоимость билета с 9459 венгерских форинтов (что примерно равно 35 долларам) до 50 форинтов (около 20 центов).
О найденной уязвимости он сразу же сообщил в BKK. Реакция руководства компании оказалась весьма своеобразной. На хакера немедленно написали жалобу, и среди ночи к нему пожаловала полиция, хотя он даже не пытался воспользоваться нелегально купленным билетом.
Затем руководство компании совершило еще одну ошибку: организовало пресс-конференцию, посвященную задержанию хакера, на которой было объявлено, что весь инцидент представлял собой серьезную кибератаку, и что теперь-то их системы полностью защищены.
"Эффект Стрейзанд"
Реакция сетевой общественности была бурной и сложносоставной. Во-первых, хакеры всех разновидностей бросились искать другие уязвимости в сетевых ресурсах BKK и нашли их в значительных количествах.
Во-вторых, выяснилось, что BKK выплачивает за поддержку своей ИТ-инфраструктуры, которую взломал 18-летний мальчишка, по $1 млн в год; выгодоприобретателем этого контракта стала местная компания T-Systems, которая как раз выступает одним из спонсоров конкурса на "этический хакинг".
"В данном случае произошло нечто похожее на "эффект Стрейзанд": руководство BKK попыталось прикрыть собственную ошибку, выдав действия 18-летнего хакера за серьезную кибератаку, а в результате несет большой репутационный ущерб, - считает Ксения Шилак, директор по продажам компании SEC Consult. - Дальнейшая судьба молодого человека зависит от того, пожелает ли венгерская фемида рассматривать действия хакера как уголовно наказуемые. Хотя о причинении реального ущерба всерьез говорить не приходится, юристы BKK могут использовать "купленный за 50 форинтов" билет как доказательство вредоносных намерений".
На странице BKK в Facebook сейчас проходит "фестиваль критики вразнос": более 45 тыс. пользователей поставили компании минимальную оценку, вдобавок случайные пользователи со всего мира постят один и тот же текст с воззванием, написанным от лица того самого 18-летнего хакера. В нем утверждается, в частности, что "взломщик" не проживает в Будапеште и не пытался воспользоваться нелегально купленным билетом, поскольку вообще не пользуется маршрутами BKK; далее утверждается, что он хотел просто помочь, а следом идет просьба отозвать жалобу в полицию.
На момент выхода этого материала сайт BKK оказался недоступен для входа с редакционного компьютера в Москве.