Ekkora suttyókat... (már bocsánat)
Jobb helyeken ilyenért pénzjutalom jár, esetleg egy állásajánlat...
https://444.hu/2017/07/20/18-eves-fiatal-jelezte-a-bkk-nak-hogy-50-forintert-tudott-berletet-venni-de-koszonet-helyett-inkabb-feljelentettek
https://444.hu/2017/07/20/18-eves-fiatal-jelezte-a-bkk-nak-hogy-50-forintert-tudott-berletet-venni-de-koszonet-helyett-inkabb-feljelentettek
Elképesztő állapotok vannak az állami cégeknél.
VálaszTörlésEngem az érdekelne, honnan kerítettek ilyen vadbarmokat, akikkel ezt a rendszert íratták. Vagy kiadták valami diákoknak? Nem értem hogy hozták össze.
VálaszTörlésValószínű úgy, hogy egy politikus okostojás az utolsó héten kitalálta, hogy a vizes VB-re nekünk kell ilyen, a T-Systems mondott rá egy irreális árat (meg visszaosztotta a megfelelő %-ot), aztán hirtelen ki kellett jönni valamivel anélkül, hogy készült volna rendszerterv, lett volna tesztelés vagy bármi egyéb. Aztán most majd a "folyamatos karbantartás és finomhangolás" címszó mellett lefejlesztik talán normális módon is.
VálaszTörlésMegjegyzem, fél órát kellett volna gondolkodni 3 olyan embernek ezen, aki már csinált hasonlót (web-es tranzakciók), és a hibák nagy része kiküszöbölhető lett volna.
Más kérdés az az arrogancia, és hozzá nem értés, amit az "IT-biztonsági igazgató" művelt. Normális cégtől már nagy ívben repült volna ilyen kókler.
... nagyon nagy ívben ...
VálaszTörlésA többi stimmel .-)
Már hallottam a hírt, de a technikai részletet nem. Ez komoly, hogy frontenden kalkulál termék árat és azzal is dolgozik? :D Ezt még egy kezdő gyakornok sem követi el, nemhogy egy elvileg ebből élő fejlesztő cég. Itt valakik nagyon gyorsan akartak meggazdagodni. :D
VálaszTörlés"Etikus hacker az, aki a megrendelő megbízásából, szerződéses viszony alapján, ellenőrzött keretek között hajt végre olyan teszteket és sérülékenységi vizsgálatokat, amelyek a rendszer biztonságos működéséhez szükségesek."
VálaszTörlésNem baszod, ezt tesztelőnek, biztonsági tesztelőnek, fejlesztőnek és sok másnak hívják, és ez a ti dolgotok lett volna alapból. Ez a srác etikus hacker, aki kérdés nélkül elvégzi a ti munkátokat és nem él vissza vele.
Rettenet ez a hozzáállás basszus....
VálaszTörléshttp://index.hu/belfold/2017/07/21/ejjel_elvittek_a_rendorok_a_bkk_hekkeret - és persze ezért éjjel kell elvinni az embert, csak hogy érezze a törődést
VálaszTörlésIgen, meg azért, hogy szokják az alattvalók a diktatúrát.
VálaszTörlésLaszlo Fazekas Undorító.
VálaszTörlésVártam ezt a megoldást, mert nekem pont jó lenne. De azt hiszem inkább bojkottálom. Megy a megyematrica mellé.
VálaszTörlésEz az egész olyan NER-es. Erőszakkal, mindent letolunk a torkotokon, a legkisebb kritikára is erőszak a válasz.
VálaszTörlésEgyértelmű mit kell legközelebb tenni: aki biztonsági rést talál, tegye közzé anonim módon valamilyen közösségi fórumon, és ne értesítse az érintett céget, mert akkor ilyen tortúrának teszi ki magát.
VálaszTörlésEnnyi... :)
VálaszTörléshttps://www.facebook.com/pg/bkkbudapest/posts/ - de legalább facebook-on szanaszét szedik őket :) (értékelésük is jó lett)
VálaszTörlésLight Hawk Ha lenne lehetőséged kijavítani, egyáltalán látnád, mit kell kijavítani (forráskód), az az eddigieknél sokkal komolyabb biztonségi rést feltételez. A legnormálisabb hozzáállás az, amit a srác csinált: kipróbálta, hogy tényleg hibásan működik az oldal, majd értesítette az illetékeseket.
VálaszTörlésLight Hawk Nyilván megvolt az okuk (például példát akartak statuálni - bár ezt csak feltételezem), ahogy annak is megvolt az oka, miért kapott egy nap leforgása alatt a bkk facebook oldala 45ezer darab 1-es értékelést (bár annak jogi következménye nincs sok, de egyértelműen jelez valamit).
VálaszTörlésAz index ezt írta: "Mi egy etikus hekkertől kaptunk bejelentést, aki azért vette meg körülbelül kétszázszor olcsóbban a havi bérletet, hogy bizonyítéka legyen a rendszerben lévő sérülékenységről. Így megalapozott érvekkel tudott figyelmeztetést küldeni a BKK-nak. Mint elmondta, nem akarja utazásra felhasználni az ily módon szerzett bérletet, pontosabban már nem is tudná, mert – feltehetően a BKK-nak írt email hatására – törölték a bérletét."
Szóval az illető a BKK-t értesítette először, majd ezután a sajtót. Utóbbi lépést lehet vitatni, bár arról nincs információm, mennyi idő telt el a két esemény között - mindazonáltal a jegyrendszer vásárlásának leállítása szerintem nem tesz ki többet egy percnél (ez talán a leglogikusabb dolog, amit ilyenkor tehetnek).
Megjegyzem, a jó hírnévhez az etikus hackernek is joga van, akit éjszaka közepén vitt el a rendőrség.
Szerintem ebben az egészben a BKK nagységrendekkel többet hibázott (és itt nem elsősorban a programhibákra gondolok), mint ez az illető.
Szerintem érdemes lenne különbséget tenned a magánszemély és a közszereplő között. Én magánszemély vagyok, a BKK pedig közszereplő. A kettőnek teljesen más személyiségi jogai vannak.
VálaszTörlésAmi meg az "alulfinanszírozott" állami céget illeti:
1) Miért van alulfinanszírozva? Egyik legfontosabb dolog, amit az államnak kötelessége ellátni (az egészségügy, szociális juttatások mellett) a közlekedés (MÁV, Volán, BKK). Az ország gyakorlatilag minden lakosa szinten minden nap utazik. Ha alul van finanszírozva, akkor az állam rosszul látja el a feladatát.
2) Egy olyan cégről, amelyiknek havi 25 milliója van arra, hogy BÉRELJEN(!!!) egy elektronikus jegyrendszert, mindezt meghívásos alapon, közbeszerzés kiírása nélkül (Tehát még egyszer: havi 25 milliót fizetnek egy teszteletlen, hibáktól hemzsegő fércmunkáért - informatikus vagyok, pontosan tudom mennyi munka egy ilyet megcsinálni, üzemeltetni), az nagyon gazdag, nem hogy alul van finanszírozva.
+Light Hawk Sok igazság van abban, amit írsz, de az már politika. Sajnos átsző mindent, és a saját hasznát nézi. De ebben szerintem itt nincs értelme belemenni.
VálaszTörlésTegyük fel, van egy kórház, ahovabeszállítják műtétre édesanyádat. És amikor bent vagy, hallod a pletykákat, és még szemtanúja is vagy, hogy az egyik orvos úgy operál, hogy nem fertőtleníti a kezét, véres ruhában és kesztyűben megy át egyik műtőből a másikba a következő pácienshez. Hát én biztos nem azt nézném, milyen jogai vannak a kórháznak, hanem mindent megtennék, hogy az az alak ne operálhasson. Nemcsak hogy azonnal értesíteném az intézet igazgatóját, de simán feltenném a facebook-ra is, hogy mi folyik ott, aki amint tudja, mentse a hozzátartozóit.
Az, amit a T-System csinált: jelszavak visszaküldése egy szimpla kérésre, egyáltalán hogy titkosítatlanul tárol jelszavakat, ugyanolyan szintű "hiba" (hogy finoman fogalmazzak), mint az, hogy egy orvos nem öltözik át, nem esik át egy tetőtől talpig tartó fertőtlenítésen két műtét között. Tehát nem baki, vagy óvatlan félrenézés, hanem a legsúlyosabb biztonsági incidens, ami veszélyezteti a felhasználóit. Az ilyen rendszert nem javítgatni kell, hanem azonnal lekapcsolni, hogy amíg nem csinálják meg rendesen, senki ne vehesse igénybe, mert súlyos kockázatnak teszi ki magát.
Még véletlenül sem akartalak fenyegetni, egy példát írtam csak. Sajnálom ha félreérthető volt.
VálaszTörlésindex.hu - Több ezer ember személyes adatát lophatták el a BKK-tól
VálaszTörlésNa ezért kell a hibákra azonnal figyelmeztetni mindenkit, mert a cégek simán hazudnak a hanyag adatkezelésükről, nem hozzák nyilvánosságra az adatlopásokat, a felhasználó meg csak csodálkozik, hogy jobb esetben csak a facebbook profilját lopják el, rosszabb esetben nullázzák a bankszámláját.
Apró különbséget látok aközött, hogy te döntesz úgy, valamilyen weboldalon ÖNKÉNT megadod az adataidat (valamilyen szolgáltatásért cserébe) vagy ellopják azt a tudtodon kívül. Olyan hájtek céget meg nem ismerek, ami pl. a jelszavadat, esetleg személyi igazolvány számot kérne.
VálaszTörlésDe csatlakozom édesanyád véleményéhez, felesleges ezt tovább ragozni.
Rengeteg hivatalban, banki felületen kérik ezeket, pont úgy, mintha személyesen bemennel. A felhasználónak kell legyen annyi józan paraszti esze, hogy tudja, okmanyirodai ügyintézésnél joggal kérik a személyi adatait, de egy webshopban nem. A jelszavát, pincode-jat pedig SOHA SENKINEK ne adja oda.
VálaszTörlés