BUDAPEST - A T-Systems azzal a bejelentésével, hogy őszre új platformra írt rendszert rak össze, gyakorlatilag elismerte, hogy eddigi munkája egy forintot sem ér, ami a BKK-nak írt e-jegyrendszerét illeti. Az "átadott" rendszert illetően ugyanúgy van baj a szoftverrel, mint a hardverrel. A szoftver biztonsági lukaktól hemzseg, a hardver pedig gyenge. Erre szokás mondani: Ülj le, 1-es!

A T-Systems bejelentette, hogy őszre új rendszert rak össze, ami a korábbinál nagyobb teherbírású és biztonságosabb lesz, sőt a támadások elhárítására is képes lesz. Ezzel elismerték, hogy a jelenlegi rendszernek voltak hiányosságai. Nyilatkozatuk néhol ellentétes, mert egyszer új rendszer összeállítását, egyszer a jelenlegi rendszer folyamatos továbbfejlesztését emlegetik, de az biztos, hogy beismerték: a jelenlegi nem használható. - Felmerül a kérdés, hogy ezért mekkora kötbérigényt jelent be a BKK, mert azzal, hogy a javítást ingyen végzi el a T-Systems, az alap.

A fejlesztő nyilatkozata szerint, minderre egy online támadáshullám miatt volt szükség, ami miatt a webes bérletértékesítést fel is kellett függeszteni. Elmondásuk szerint egyébként három hullámban érkeztek támadások a szerver felé:

  • Egyedi, de IT szakértelmet igénylő támadások.
  • Szervezett támadások, 87 különböző IP címről. - 9450 kártékony, automatizált kérés érkezett
  • Részben külföldi szerverekről érkezett támadások. - Végül ezek vezettek a szolgáltatás leállásához.

A támadások során fény derült arra is, hogy adatvédelmi incidens is történt, mivel a szerveren mind a jelszavakat, mind pedig a személyi azonosítóigazolvány számokat titkosítás nélkül tárolta a rendszer. - Emiatt, akik csak regisztráltak a shop.bkk.hu-ra, azoknak kiszivároghattak az adataik és jelszavaik, ami miatt egyébként akár az ügyfelek kártérítési igénnyel is élhetnek a BKK felé.

Most úgy döntött a fejlesztő, hogy az EY nemzetközi tanácsadó céget kéri fel, hogy külső, független szakértői vizsgálatot folytasson le a rendszerrel kapcsolatban.

Kaszás Zoltán, a T-Systems Magyarország vezérigazgatója elmondta, hogy a rendszerhez úgynevezett „bug bounty” módszereket is bevetnek, hogy egy szabályozott technikai platformon lehessen feltárni a sebezhetőségeket.

Az AlterKK korábbi cikkében felvetette annak az egyszerű biztonságtechnikai eszköznek a nem használatát, hogy a támadásokat egyszerűen az IP címek végleges és ideiglenes blokkolásával el lehetett volna érni, hogy a shop használható maradjon. Különösen felmerül ez a kérdés azok után, hogy azonosítottak is 87 IP címet, melyek vélhetően jelentős része külföldi IP cím, így csupán 1-2 óra alatt stabilizálni lehetett volna a rendszer állapotát.