BKK;e-jegyrendszer;BKK-botrány;

2017-07-27 20:56:00

BKK-botrány - Magára vállalta az e-jegy bukását a T-Systems

A T-Systems Magyarország tájékoztatása szerint őszre elkészül a vállalat saját költségén a Budapesti Közlekedési Központ (BKK) továbbfejlesztett, magas színvonalú online jegyértékesítési rendszere, amelynek növelik a teherbírását és a támadásokkal szembeni ellenálló képességét. 

A közleményükben felidézték: a T-Systems Magyarország szakmai feladata az volt, hogy könnyen, stabilan használható online jegyrendszert építsen fel a megrendelő által megadott igények szerint.  "Egy rendszer fejlesztése az átadással nem fejeződik be" - írták, hozzátéve: az átadás után a felhasználói tapasztalatokra és visszajelzésekre építve tovább tart a munka. Közölték: a rendszernek voltak olyan hiányosságai, amelyek további fejlesztést kívántak; a cég fejlesztőcsapata folyamatosan dolgozik a rendszer továbbfejlesztésén. Úgy fogalmaztak: a szolgáltatás ellen indított támadáshullám következtében néhány napos használat után a BKK-nak fel kellett függesztenie jegy- és bérletwebshopjának működését. 

A szolgáltatás indulása után "három hullámban több típusú és intenzitású támadás" érte a rendszer különböző pontjait. Először még csak kevesen próbálták feltörni a rendszert, de a támadásokhoz IT-szakértelemre volt szükség. A második hullámban szervezetten, "87 különböző IP-címről érkező és még magasabb szakértelmet kívánó" támadások érkeztek. A harmadik hullámban részben külföldi szerverekről érkező támadások mértéke a szolgáltatás működésének leállításához vezetett - olvasható a közleményben.

Azt írták: az "állítólagos adatvédelmi incidensre" tekintettel a T-Systems Magyarország azonnal teljes körű vizsgálatot indított, a belső vizsgálaton felül felkérte az EY nemzetközi tanácsadó céget egy külső, független szakértői vizsgálat lefolytatására. A közleményben idézték Kaszás Zoltánt, a cég vezérigazgatóját is, aki azt mondta, a cél, hogy megerősítsék, ellenállóbbá tegyék az infrastruktúrát, amely "jóval biztonságosabban, többféle fizetési módot lehetővé téve, (...) felhasználóbarát mobilalkalmazással kiegészülve" készül el ősszel. 

Kaszás Zoltán azt is közölte: a tesztelésre a sebezhetőségek feltárására szolgáló, szabályozott technikai platformhoz tartozó, úgynevezett "bug bounty" módszereket is bevetnek. (Ennek lényege, hogy a cég honorálja, ha valaki biztonsági rést vagy bármilyen hibát talál a rendszerben, és azt jelenti.)

Tarlós István főpolgármester csütörtöki budapesti sajtótájékoztatóján felszólította a T-Systems német tulajdonosát, hogy a projekt kidolgozójaként és garantálójaként adjon magyarázatot a budapesti e-jegy értékesítési projektjének problémáira.

Mint ismeretes, a BKK július közepén indult, ám hétfő óta nem működő online jegyrendszerén igen súlyos biztonsági rések maradtak, így – bár a BKK és a fejlesztő T-Systems sokáig tagadta - kívülről hozzá lehetett férni vevők megadott személyes adataihoz. A 24.hu kedden közölte: birtokában van egy július 16.-i adatbázis, ami 3481 utas személyes adatait tartalmazza. Az informatikai rendszer könnyen feltörhető volt, így például a valós árnál sokkal olcsóbban is lehetett jegyet, bérletet venni. A BKK másnap kiadott közleménye szerint a rendszer "sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni". Múlt csütörtök éjjel a rendőrök előállították és gyanúsítottként kihallgatták azt a fiatalt, aki észrevett egy "rést" az online értékesítési rendszerben, tesztelte, majd jelezte is a BKK-nak a hibát. Emiatt több ellenzéki párt, többek között az MSZP, az LMP és a Liberálisok tiltakozott. 

A rendszert fejlesztő T-Systems Magyarország szerint kötelességük volt rendőrségi feljelentést tenni. Ugyanakkor megjegyezték: "a BKK és a T-Systems Magyarország vezérigazgatói sajnálattal értesültek arról, hogy a gyanúsított egy fiatal diák, aki a médiában megjelent nyilatkozatai szerint jó szándékkal járt el".

A BKK válaszolt a NAIH elnökének
A Budapesti Közlekedési Központ válaszolt a Nemzeti Adatvédelmi és Információszabadság Hatóság megkeresésére az online jegyértékesítés ügyében - mondta el Péterfalvi Attila, a NAIG elnöke egy újságírói kérdésre válaszolva csütörtöki budapesti sajtótájékoztatóján. Mint mondta, a válasz már megérkezett, de még nem tanulmányozta át. Jelezte: a BKK válaszának ismeretében dönt arról, hogy milyen típusú - vizsgálati vagy hatósági - eljárás indul az ügyben. Azzal kapcsolatban, hogy a 24.hu azt írta, több mint háromezer ember személyes adatai kerültek a birtokukba a BKK online jegyértékesítési rendszeréből, Péterfalvi Attila elmondta: értékelni fogják "az ilyen jellegű adatbázisokat" is. Hozzátette: a hatóság az eljárása során bárkit megkereshet, "akár azt is, aki hozzájuthatott az adatokhoz, vagy a hiányosságokat jelezte".