„Idejöttek a vizes vb-re, a személyes adataik meg kikerültek”

A témát ebben részben 'Hírek!' david9696 hozta létre. Ekkor: 2017. július 30..

  1. david9696 / Moderator Vezetőségi tag

    Csatlakozott:
    2014. július 12.
    Hozzászólások:
    14,623
    Kapott lájkok:
    284
    Beküldött adatlapok:
    0
    Nem:
    Férfi
    Amíg az adatok ki nem kerültek, addig a BKK új e-jegy és online jegyértékesítési rendszere kapcsán mindig azt mondtam, hogy lehetne rosszabb is. A legrosszabb eset az, hogy ezt a rendszert feltörik és a személyes adatok kikerülnek. Ez most úgy tűnik, megtörtént. Képzeljük el, hogy ezek között vannak néhány ezer vagy néhány száz külföldinek az adatai, olyanoké, akik idejöttek a vizes vb-re, beregisztráltak ebbe a rendszerbe, majd úgy mennek el innen, hogy a személyes adataik kikerültek. Bele lehet gondolni, hogy ebből mekkora sajtóbotrány lesz majd Európában. Ez már nem csak a két cég lokális reputációvesztése

    – nyilatkozta lapunknak Krasznay Csaba, a Nemzeti Közszolgálati Egyetem (NKE) áprilisban létrejött kiberbiztonsági akadémiájának igazgatója azzal kapcsolatban, hogy a 24.hu birtokába jutott egy több mint 3000 ember személyes adatait tartalmazó adatbázis, amely a forrás állítása szerint a BKK rendszeréből származik.

    Szakemberek szerint ha valósak az adatok, akkor a fejlesztők több súlyos biztonsági hibát is elkövettek, az áldozatok pedig sérelemdíjért perelhetnek. A 24.hu az adatvédelmi hivatalnál bejelentést tett, átadta az adatbázist, a hivatalnál várják a BKK tájékoztatását. „Ennek a héten meg kellene érkeznie” – mondta el kérdésünkre Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke.

    Krasznay megerősítette azt, amit a kikerült adatokról szóló cikkben a fejlesztők is hangoztattak: ezeket a hibákat „akarni kellett” beletenni. Szerinte, amikor egy fejlesztő a tíz legveszélyesebb biztonsági hibából hatot belepakol egy alkalmazásba, az magyarázhatatlan.

    Két napja azon gondolkodom, hogy hogy lehetett ezt ennyire elrontani, de nincs ötletem.

    HIRDETÉS
    Arra a kérdésemre, hogy elképzelhető-e az, hogy a rendszerbe kívülről nyúltak bele, kívülről „rontották el”, Krasznay Csaba egyértelmű nemmel felelt.

    A kérdés, hogy észlelték-e
    Fontos alapszabály biztonsági, információbiztonsági incidensnél, hogy a lehető legalacsonyabban tartjuk a tüzet, nem adunk rá oxigént, nem hagyjuk, hogy felgyulladjon

    – mondta Krasznay. A szakember elmondta: hibák mindig vannak. A háttérben ilyenkor elkezdődik egy nyomozás annak kiderítésére, mekkora kár érte a rendszert, mi történt pontosan. Szerinte az, hogy a 24.hu-hoz került ez az adatbázis, a lehető legrosszabb, ami történhetett a BKK és a T-Systems Magyarország párosával.

    „Kérdés, hogy észlelték-e azt, hogy ehhez az adatbázishoz hozzájutottak, ezt lementették. Mert ha tudjuk azt, hogy adatot loptak tőlünk, akkor mielőtt a sajtóhoz kerülne az adatbázis, el kell kezdeni felkészíteni a közvéleményt a hírre:

    • mindent megtettünk az ügyfelek adatainak biztosításáért,
    • letiltottuk a rendszert,
    • értesítettük a felhasználókat, hogy változtassák meg a jelszót,
    • már nyomozzuk, mi történt pontosan, és mekkora kört érintett,
    és így tovább.”

    Erre a kérdésre majd a T-Systems belső vizsgálata, illetve az általuk hétfőn felkért EY nemzetközi tanácsadó cég által végzett külső, független szakértői vizsgálat adhat választ. (Ahogy Tarlós István főpolgármester állítására miszerint a T-Systems állományából kerülhetett ki a birtokunkba került 3 ezres adatbázis, szintén ez ad majd választ – jelezte nekünk a cég sajtóosztálya.)

    Magyarázatot követel, és a T-Systemsre veri a BKK-balhét Tarlós
    Tarlós István csütörtök délelőtt sajtótájékoztatót tartott, ahol nemcsak arról beszélt, hogy büntetőeljárás indul a metróajtót blokkoló fakocka ügyében, vagy esze ágában sincs meneszteni Dabóczi Kálmán BKK-vezért az e-jegyrendszer körüli botrány miatt, de a 24.hu birtokába került adatbázis kapcsán is megszólalt. És elég kemény dolgokat mondott.
    Fotó: MTI/Mohai Balázs
    Három hónap alatt meg lehet csinálni
    Kaszás Zoltán, a T-Systems Magyarország vezérigazgatója, egy belső körlevélben úgy fogalmazott: „a BKK-tól lehetőséget kaptunk, hogy rekord idő alatt (3 hónap) mi készíthessük el annak új webes bérletértékesítési rendszerét.”

    Ezzel kapcsolatban a kiberbiztonsági akadémia igazgatója elmondta:

    Félreértés ne essék, létre lehet hozni 3 hónap alatt egy ilyen rendszert.

    HIRDETÉS
    Azt mondja, szoftverfejlesztő cégnél dolgozik, 3 éven keresztül vezette egy termék fejlesztését. A folyamat úgy működik, hogy a termék elkészül, a terméken lefutnak a tesztek, majd az eredmények és a felvázolt kockázatok alapján a felelős döntéshozó értékeli azt, hogy mehet-e a rendszer éles üzemben vagy sem.

    Ha kimegy éles üzembe, de marad benne hiba – ez velem is előfordult – akkor vállalni kell, vállaltam én is a a felelősséget. De sosem kenem rá a felelősséget a végfelhasználóra, és nem hivatkozok külső indokokra. Olyan szoftvert és szolgáltatást kell az asztalra letenni, ami kielégíti az ügyféligényeket. A biztonsági és adatvédelmi követelményeket – pláne a mai világban – le kell írni, és azokat bele kell tenni a rendszerbe

    – közölte Krasznay Csaba.

    Hozzátette, nem az a szándéka, hogy a BKK és a T-Systems Magyarország kettősét savazza, hiszen hasonló szintű problémák napi szinten cégek ezreinél, millióinál előfordulnak:

    Ebből áll az egész kiberbűnözési iparág, ezért tud még működni. Még mindig milliószámra vannak rosszul megírt alkalmazások, amik tele vannak tömve ügyféladatokkal.

    Kulturális kérdés
    A kiberbiztonsági akadémia igazgatója szerint ez az eset nagyon sokat segíthet abban, hogy Magyarországon a szervezetek vezetői megértsék, mivel járhat egy-egy rossz döntés. Mint mondja, ezt Amerikában már lejátszották pár évvel korábban. Ahogyan ő fogalmaz:

    El lehet játszani – pontosan egyszer(!) – az ügyfelek bizalmát, utána nagyon sokba kerül azt a hírnevet helyreállítani. A fejlesztőknek is intő jel ez a mostani eset, hiszen a mai világban elkerülhetetlen, hogy a biztonságos szoftverfejlesztés benne legyen a vérükben.