18-летний молодой человек арестован за сообщение о «детской» ошибке в новой системе электронных билетов Будапешта

https://blog.marai.me/2017/07/24/18-year-old-arrested-bkk-tsystems-e-ticket/
  • Перевод
Количество идиотизма в этой истории делает эту заметку достаточно длинной, так что я начну с конца: как сказано в заголовке, 18-летний молодой человек был два дня назад арестован за «взлом» новой системы электронных билетов Будапешта, несмотря на то, что он сразу же сообщил о найденной им уязвимости.

По мере того, как история распространялась в социальных сетях, на фейсбук-страницах вовлеченных компаний появлялись десятки тысяч обзоров с 1 звездочкой (оператор новой системы, Budapest Transport Authority, сокращенно на венгерском ВКК), и T-Systems Hungary, отвечающий за разработку и поддержку системы электронных проездных. T-Systems Hungary принадлежит Telekom Hungary, который в свою очеред является дочерней компанией Deutsche Telekom, торговая марка T-Systems также принадлежит DT, и они являются весьма крупным игроком на рынке всей Европы.

История началась несколько недель назад, когда ВКК анонсировали запуск мобильной версии электронных проездных. Все, включая меня, были воодушевлены и удивлены одновременно. Мы уже знали, что они работали над системой на основе NFC/smart card уже на протяжении 4-х лет, без каких-либо видимых результатов, но потратив при этом более 4-х миллионов евро. Первые вопросы, пришедшие мне в голову, был «Как-то слишком быстро, без предварительных анонсов и слухов» и «Интересно, как они реализуют защиту от мошенничества и механизмы аутентификации?»…

Ответ на первый вопрос, по крайней мере, частичный ответ – они хотели запустить систему до начала чемпионата FINA, проходящего в Будапеште прямо сейчас. Более того, они запланировали запуск системы в день официального открытия чемпионата (14 июля). Немного попахивает, да? Прежде всего, не стоит запускать такую систему в крупном городе с развитой системой общественного транспорта и 1.7 миллионов жителей без серьезного тестирования. Во-вторых, не стоит запускать такую систему во время события, привлекающего в город огромное количество туристов. И в третьих, хорошо бы сделать систему доступной уже за несколько дней до начала чемпионата, т.к. многие посетители приезжают немного заранее.

Но второй вопрос гораздо интереснее – как сделать систему безопасной? Все, что было известно – что система будет онлайн, в вебе, т.е. не нужно будет устанавливать никаких приложений. Что, безусловно, делает защиту еще более интересной задачей.

То, что случилось в день запуска, было неожиданным даже для программистов, рожденных в маленькой центрально(восточно)европейской стране в советскую эпоху. Конечно же, были проблемы, конечно же, билеты было легко копировать на другие устройства, но это были лишь цветочки. Вот что нам удалось обнаружить:

  • Система хранила пароли в открытом виде и посылала их по электронной почте, если вы просили напомнить забытый пароль. Это означало, что для большинства людей те, кт получали доступ к системе, получали доступ и к их электронной почте (Будем честными, большинство пользователей используют везде один и тот же пароль).

  • Пользователи могли видеть данные других пользователей, всего лишь изменив урл. В приложении вообще не было системы управления доступом. Люди жаловались, что они могли получить доступ к профилям других пользователей. Да, при регистрации необходимо было указать имя-фамилию, адрес и номер документа. И это должно было быть настоящим, потому что эти данные надо было предьявлять контролерам билетов.

  • Если вы просто вводили урл, (shop.bkk.hu), сайт просто не открывался. Вначале я думал, что он упал, но оказалось, что они просто не сделали редирект с http на https. И это длилось несколько дней. Если вы про это не слышали, вы просто не могли пользоваться системой.

  • Кто-то обнаружил, что пароль администратора был adminadmin, и смог войти в систему под этой учетной записью.

  • Конечно же, билеты можно было легко скопировать, пользователи даже выложили видео с тем, как они 10 раз прошли через систему контроля с копиями билетов. Контролеры использовали сканер QR-кодов лишь дважды (у большинства просто не было сканеров), но даже тогда они не обнаружили ничего подозрительного (почему-то неудивительно).

  • И самое смешное – вы могли сами установить цену покупаемого билета.

Последняя уязвимость и была найдена 18-летним молодым человеком. С нее и начался этот рассказ. С его слов, он даже еще не умел программировать (он поступил в университет с этой осени). Он всего лишь воспользовался средствами веб-разработчика, встроенными в браузер (они доступны для всех), увидел, что цена отправляется назад на сервер в момент совершения покупки, и попробовал ее изменить. Месячный проездной стоит 9500 форинтов (около 30 евро), он установил цену 50 форинтов. При получении подтверждения об успешной покупке и получения проездного он сразу же написал по электронной почте в ВКК о том, что у них серьезная проблема. В ответ он получил лишь емейл о том, что его проездной аннулирован – и все. И лишь когда об этом написали в прессе, и начались массовые обсуждения вышеприведенных уязвимостей, ВКК вместе с T-Sytems стали срочно прикрывать свои задницы. Они стали заявлять о массированных хакерских атаках, о том, что общество показало себя недостаточно зрелым для такой системы, о том, что любую систему можно сломать, но их файрволы предотвратили множество атак, что пользователи использовали непристойные имена при регистрации, которые им пришлось поудалять, и тому подобное.

Один из представителей T-Sytems сообщил на пресс-конференции на следующий день, что они рады получать отчеты об ошибках, и что они получили один такой отчет, который безусловно является незаконной попыткой взлома. И хотя он упомянул о попытках атак SQL injection, можно быть уверенным, что речь шла о 18-летнем «хакере», оказавшемся достаточно глупым, чтобы написать им е-мейл.

Неделю спустя в новостях сообщили о том, что он был задержан полицей у себя дома (и отпущен через несколько часов). В нормальной стране, с работающей демократией, естественно, тот, кто заявляет о подозреваемом нарушении, не несет ответственности за то, что после этого должна делать полиция (а могли бы хотя бы сказать спасибо). Но в такой стране полиция не устраивает захват того, кто не представляет угрозы для общества. Особенно если это незаконно. А в Венгрии это таки незаконно. Единственная причина того, что они это сделали – напугать.

В итоге, все начинает выглядеть очень и очень нехорошо для всех участников.

  • ВКК заказала и приняла в эксплуатацию систему, наводненную детсадовскими ошибками. Большинство среднестатистических джуниор разработчиков написали бы лучше, за пару недель.

  • T-Systems согласились разработать (скорее всего, за невыполнимые сроки) решение, которое не могло бы нормально работать, даже будучи нормально написанным. (Предполагаю, что перед ними не стояло задачи сделать так, чтобы билеты было невозможно скопировать). И они ее таки разработали. И кто-то в руководстве сказал «ОК, делайте релиз».

  • ВКК платит T-Systems 80 тыс. евро в месяц за поддержку системы. Что весьма интересно, т.к. 80 тысяч достаточно, чтобы нормально реализовать всю систему с нуля. Хорошо, два-три раза по 80 тысяч, если добавить пару менеджеров, немного тестирования и немножечко откатов.

Вы, конечно же, можете спросить, а зачем было настолько срочно выпускать релиз для чемпионата FINA? Давайте забудем о сотрудниках ВКК, т.к. эта организация управляется политиками. Но как нормальный менеджер мог допустить, чтобы эта фигня ушла в релиз? Неужели ни один из инженеров в команде не сообщал руководству о том, что что-то идет не так? Мне сложно в это поверить.

И снова, было ли это связано с FINA? Почему эти ребята повели себя столь грубо? В Венгрии людям сильно не нравится, если с ними так себя ведут. Особенно если в это вовлечены политики. И по поводу этого ничем не оправданного давления на парня, заявившего об уязвимости. По закону то, что он сделал, даже не является нелегальным. Он сообщил о «неавторизованном воздействии» на систему, что покрывается параграфом «совершение мошенничества с использованием информационных систем», но условия, описанные там, не были выполнены. Что ставит под сомнение, что полиция повела себя правильно (или же что T-Systems не сообщили всей имеющейся у них информации).
Поделиться публикацией
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама
Комментарии 178
  • +12
    Если компания явно не указывает, что у нее есть программа вознаграждения за найденные уязвимости — туда с такими письмами лучше не соваться, в России тоже было не мало подобных случаев. Максимум — анонимное сообщение с почты не связанной с реальным человеком, а спустя некоторое время — анонимный постинг публично.

    Ну и - традиционная картинка

    • +1
      В данном случае я бы ещё посоветовал не снижать цену с 9500 до 50.
      • +24

        … сам занялся подделкой только что купленного билета. На другом конце моего ножа для обрезки сигар находился перфоратор, с помощью которого я изменил пробитый на билете код места назначения.


        Теперь я летел вместо XVIII на планету X, и на этом изменении курса потерял почти двести кредиток. В этом состоит суть моего метода. Никогда не увеличивайте стоимости билета слишком много шансов засыпаться. Если же вы уменьшите его стоимость, то даже если это будет замечено, все сочтут это ошибкой машины. Ни у кого не возникнет и тени подозрения, так как терять на подделке денег явная бессмыслица.


        "Крыса из нержавеющей стали", Гарри Гаррисон

        • –2
          Сначала подумал, что вы ошиблись, потом я посмотрел перевод и там тоже «Если же вы уменьшите его стоимость, то даже если это будет замечено, все сочтут это ошибкой машины.», очевидно же, что Гарри Гаррисон имел ввиду совсем другое!
          • +4
            Скорее всего, имелось ввиду, что вы покупаете билет за 1000 кредиток, перфорируете его, превращая в билет за 800 кредиток. Его стоимость уменьшилась.
            • +1
              Да. Снизить стоимость билета ДО покупки как в статье или ПОСЛЕ покупки как у Гаррисона — две большие разницы :)
              • +2

                Или четыре маленьких :) Важен принцип: не стараться получить материальную выгоду.

                • +2
                  Ну, персонаж Гаррисона при получении материальной выгоды не разменивался на мелочи, если мне не изменяет память.
                  • +2

                    Отнють, в первой книге он конфеты воровал, а Слон его научил кое-каким хакерским премудростям как раз по части мелочей. А в более подних произведениях он не чурался спереть у начальства годных сигар.

                    • +2
                      А все проблемы начались, когда честно трудоустроился (см. приключения с налоговой)
            • 0
              The other end of my cigar cutter was a punch; with it I altered the keyed holes that indicated my destination. I was now going to planet X, not XVIII, and I had lost almost two hundred credits with the alteration. That's the secret of ticket and order changing. Don't raise the face value—there is too good a chance that this will be noticed. If you lower the value and lose money on the deal, even if it is caught, people will be sure it is a mistake on the machine's part. There is never the shadow of a doubt, since why should anyone change a ticket to lose money?
              • 0
                Да, просто подделки в статье и в романе у Гаррисона немного разные, в первом случае мы меняем сумму платежа за поездку, а во втором подделываем дорогой билет на другое направление, более дешевое.
          • 0
            Он снизил не до 50, а на 50.
            • +1
              Таки до 50. Не совсем корректно перевел. Поправил.
            • –1
              9500 форинтов ~ 30 евро.
              А он именно увеличил до 50 евро!
              • 0

                По тексту — он снизил до 50 форинтов (0,16 евро)

            • +2
              Если у компании нет программы вознаграждения, публичный постинг должен быть без всяких предупреждений.
              • +2
                Может и да, а может и нет. Нельзя забывать, что в первую очередь это коснется пользователей, они не виноваты, что программисты компании — криворучки.
                • –3
                  Это уязвимость как пользователей коснется?
                  • 0
                    Повышением цены на проезд для компенсации убытков (не важно, кто тут виноват, бизнесу всё равно нужно держаться на плаву). И покупкой билетов за чужой счёт.
                    • –2
                      Цены на проезд всегда буду максимально возможными. Это же капитализм.
                      • 0
                        Странно вы на капитализм смотрите. Конкретно в Венгии Малев вам в пример с максимальными ценами на проезд на самолетах :)
                        • 0
                          А что с ним? Полагаю, у них такие цены, потому что они конкурентноспособны с ними. были бы монополистами, как сабж, установили бы цены больше
                          • +1
                            А умер он. Потому что пришел Виззаир :) В общем, я о том, что в капитализме вполне находятся те, кто вкладываются в крутую оптимизацию своих процессов, что позволяет им сильно снизить цены и захватить рынок, поскольку «динозавры» на такое не способны…
                            • –1
                              Вы абсолютно правы. Каждый получает максимальную прибыль как может. Если может оптимизировать техпроцессы — оптимизирует, что позволяет снизить цены, скажем на 50%, а снижает он их на 30%, 20% себе.

                              А если можно дать чиновнику откат, то зачем цены снижать?
                        • 0
                          Максимальный предел может повышаться. И подобные события увеличивают вероятность оного: кому-то приходится платить за халявщиков, а их может достаточно быстро стать много.
                          • 0
                            Если цена поднимется до определенного уровня народ начнет возмущаться
                            А за криво сделанный софт должны платить
                            1) Подрядчик
                            2) Заказчик (тот чиновник, который получил откат)
                            • 0
                              Угу, взяли и заплатили… Тут даже если и платить, это может делаться дооолго. А кредиторы денег хотят здесь и сейчас.
                    • 0
                      Ну причём тут программисты? Программисты там, я так понимаю, рядом не сидели. Если, конечно, мы под этим словом понимаем одно и то же.
                  • –1
                    А лучше — продать данные заинтересованным людям. А те уже проведя хороший скам доходчиво доведут до клиента необходимость прислушиваться к людям, желающим помочь.
                  • +10
                    >они просто не сделали редирект с http на https
                    Сразу вспоминается Сбербанк Онлайн (http://online.sberbank.ru/, https://online.sberbank.ru/), где это не сделано до сих пор. И прошло уже совсем не «несколько дней».
                    • –7
                      Первая ссылка (которая http) не открывается.
                      • +13
                        Об этом и идет речь, что там неплохо смотрелся бы редирект на https версию.
                        • –10
                          Согласен, но гораздо хуже бы смотрелось, если бы ссылка по http открывалась бы, как ни в чем не бывало.
                          • +7
                            редирект должен быть на https же
                            • 0
                              редирект, несомненно, был бы полезен, но вот с тем, что они чего-то «должны» — это вы явно перегнули
                              • 0
                                Не, ну давайте сделаем это повсеместно. Абсолютно уверен, вам такой расклад не понравится. В прочем, мы же говорим о сайте сбербанка, на котором, как известно, уязвимостей нет, что уж говорить о таких мелких недочётах…
                            • +3
                              А вы не в сбербанке работаете?
                        • +8
                          У сбера теперь везде ИИ, а ему надо время что бы настроить коэффициенты.
                          • +7
                            ИИ еще не дошел до мануалов к конфигу nginx
                            • +2

                              Скорее не nginx, а Microsoft IIS (заголовок Server: Microsoft-IIS/7.5). Эта версия, кстати, вышла в 2009. Д умаю, что в Microsoft еще не одну дыру в безопасности подлатали с новыми версиями за 8 лет.

                              • +4
                                латание дыр у мс не изменяет версии, это же не хром
                          • –27
                            Топовый пример, Вы сами то пробовали перейти по ссылкам которые предоставили? через http скрин сделайте и выложите пжлст
                            • 0

                              Недавно совершал оплату картой, процессинг осуществлял sberbank.ru и не обнаружил там https. Долго думал, фишинг или нет.

                              • 0

                                уже после ввода данных? Просто если "до", то лично я бы не стал там вводить данные карты...


                                // а если после, то таки точно пора уже грефу прямым текстом заявлять, что в своём глазу бревна не видит

                                • +1

                                  Обнаружил до перевода и посчитал это очень подозрительным. Перевод не стал совершать и пошел внимательно сличать адрес с адресом сбера. www.sberbank.ru. Адрес был правильный, но подобные вещи от крупного банка просто непростительны.

                                  • +3
                                    сличение адреса не обеспечивает безопасность, отсутствие https позволяет провести атаку MITM, хотя адрес совпадёт, казалось бы! И наличие только https — тоже не безопасность.
                                    Только точные адрес ПЛЮС https дают какую-то гарантию. Одно из двух — это как ворота без забора (или наоборот).
                                • 0
                                  Странное что-то. Во всех случаях, когда оплачивал через сберовский процессинг, было HTTPS, адрес кажется https://securepayments.sberbank.ru
                                • 0
                                  да, несмотря на уважение по другим достаточно хорошим достижениям, такие штуки удивляют. Ранее все наверное обращали какая была уродливая страница ввода кода с СМС, где даже не удосужились логотипу нормальную прозрачность сделать, но теперь нормально ) но сколько лет эта страничка была )
                                  • +1
                                    достаточно хорошим достижениям
                                    электронная очередь что ли? )
                                    • 0
                                      Раньше в сбер было сходить очень не комфортно, сейчас бывает может и не идеально, но лучше чем в Альфа банк (в Самаре). Да электронная очередь — хорошая штука.
                                      • 0
                                        Где-то ещё хуже != тут хорошо.
                                        • 0
                                          Идеально не бывает, но все достаточно хорошо.
                                        • 0
                                          Скажу по секрету — в банк ходить не обязательно… Не знаю, зачем они строят себе офисы.
                                          В бассейне, например, для достижения результата, нужно ваше личное присутствие, а все банковские операции успешно выполняются онлайн и с помощью бумажной почты.
                                          • 0

                                            На мой взгляд уж лучше десяток раз сходить в сбербанк лично чем один раз попытаться пообщаться с ним через нашу Почту.

                                            • 0
                                              с такими банками не надо общаться… или сразу бросать трубку, или слать нах.
                                              Если самоуважение есть.

                                              Выписка со счета от тинькова пришла в тот же день на email и еще спустя 3-4 дня в почтовый ящик бумажным письмом с печатями. В старинном банке получить справку — это написать заявление, подождать 2 недели и потом забирать в рабочее время в офисе, который хз где находится.
                                            • 0
                                              В нашем мире, чтобы получить что-то вещественное нужно, чтобы оно доехало до тебя или ты должен доехать до него. Я пользуюсь пластиковыми картами, представь и даже наличными иногда, скажу тебе по секрету.
                                              • 0
                                                что вещественного нужно от банка? Это просто база данных с операциями по счетам.
                                                Карточки курьер привозит, бумажные справки — почта. Не представляю, что делать в банке лично, если там процессы налажены.
                                                • 0
                                                  Мне не очень приятно фотографировать с паспортом и договорам и все это делать в личном авто курьера. Бывает справка нужна срочно, почта долго. Кроме айтишников, есть не айтишники, которым надо все рассказать и показать, в банках это делают.

                                                  Хорошо, когда есть выбор. Вы его сделали и я рад ) У меня карты многих банках в т.ч. и того про который вы намекаете )
                                                  • 0
                                                    Не очень приятно в очереди сбера полчаса стоять, чтобы смс-уведомления отключить. Или за картой ехать в другой конец города, а там отделение набито народом дверь закрыли за 15 минут до конца рабочего дня, чтобы еще больше народа не набилось.

                                                    Когда мне срочно нужна была справка, в убогом банке АБ «РОССИЯ», мне надо было ждать её 2 недели, а потом ехать за ней лично. Что в моем графике заняло еще пару недель.

                                                    все рассказать и показать, в банках это делают.

                                                    Последний раз в сбере, в котором нет онлайн-чата, где отвечают за минуты, на мой вопрос на сайте отвечали дней 10. Вопрос был «какого хера я полгода назад написал заявление на закрытие счета, а мне с него все еще приходят отчеты». Ответили, что счет не закрыли, так как там оставались деньги. И молчат полгода. Разумеется, надо снова идти в отделение и опять писать заявление.

                                                    Я про такие косяки могу часами рассказывать, хотя пользуюсь отсталыми банками по-минимуму, вынужденно.
                                                    • 0
                                                      В нашем городе иная ситуация, отделений много, проблем особых не возникает. Справки быстро получал для визы. Я просто написал, что банк сильно изменился, учитывая, что он полугосударственный это даже ставит в тупик ) Может не везде )
                                                      • 0
                                                        да, это унылое г. стало чуть менее унылым… Но до конкурентоспособности ему, как запорожцу до суперкара. Но с такой-то матерью можно заставить его ехать.
                                                        • 0
                                                          Есть люди, которые всем недовольны. У них очень хорошо оформлены офисы, хорошее приложение и неплохой клиент банк. Я выбрал этот банк и чаще всего им пользуюсь, значит конкурентноспособный и у всех моих друзей есть, что облегчает переводы.
                                                          • 0
                                                            Я полностью доволен тиньковым, был счастлив от банка Связной и меня впечатляет Точка.
                                                            Зачем мне оформление офисов, я не хочу работать курьером у банка и куда-то бегать по офисам. Особенно, когда у других бегать никуда не надо.
                                                            Переводы у тинькова бесплатны в любой банк, вот где легкость. Сбер дерет 1% за перевод на сбер в другой город, а их тарифы по картам одни из самых невыгодных на рынке.

                                                            Их мобильное приложение самое тормозное, из тех что я пробовал. Пока оно запустится и просканирует телефон на вирусы, я уже забываю что хотел сделать.
                                                            • –1
                                                              Вы наверное просто за Навального, я по другому не могу объяснить ваши ответы. У меня просто 6 карт по 2 от каждого банка и я использую преимущества каждого, но я не могу сказать, что кто-то сильно круче.

                                                              Да сканер карт от Тинькова впечатляет ) Переводы у Тинькова бесплатны в любой банк из-за того, что нет расходов на офисы, а не будет банкоматов, Тиньков не нужен будет, а эту инфраструктуру строят другие банки и самая большая у Сбера.
                                                              • 0
                                                                и что плохого в том, чтобы использовать чужую инфраструктуру?
                                                                Вот не начислять проценты на остаток по дебетовой карте — плохо.

                                                                Я рассказываю про цифры, тарифы и конкретные факты. Вы озвучили преимущество сбера в виде удобных очередей в красивых офисах.

                                                                Если сбер завтра предложит лучшие тарифы, сервис и будет показывать хорошие темпы развития — я переметнусь в него, мне не принципиально.
                                                                Могу даже забыть их скотское отношение за все эти годы.
                                                    • 0
                                                      которым надо все рассказать и показать, в банках это делают

                                                      Зачастую в банках показывать и рассказывать приходится как раз для операционистов ))
                                                    • 0
                                                      Более того, вот как раз такой открывается :) https://www.monobank.com.ua/
                                                      • 0
                                                        В россии таких уже много. Связной банк вот успел открыться и закрыться. Поэтому когда на фоне такой конкуренции эти динозавры ничего не хотят менять в своей работе, это странно.

                                                        Одни банки приносят дебетовую карту курьером на следующий день, вторые 2 недели(!!!) одобряют её! Одобряют дебетовую карту!
                                          • +3
                                            Более того, я писал им по этому поводу в службу поддержки, но воз, как видно, и ныне там.
                                            Дебилы, блять )
                                            • –1
                                              это как:
                                              — где карту получали туда и топайте?

                                              если последний раз вас перекинули на https, то чего вы лезете на http?
                                            • 0
                                              Hát… magyarok))
                                              • +8
                                                По своему опыту скажу, что все ещё более грустно. Сообщал об уязвимостях многим компаниям, в том числе и тем, которые есть на Хабре (казалось бы, они должны быть более адекватными).

                                                Кто-то исправляет, но таких мало. Кто-то исправляет, но баги появляются снова (я даже не представляю, как они это делают). А многие просто забивают и игнорируют сообщения.

                                                Уверен, что если информацию о багах публиковать, мы увидим гору истеричных статей уровня «В Сбербанк онлайн уязвимостей нет». А если кто-то все же взломает компанию, которая ничего не делает для защиты данных, то начнётся истерика про злых хакеров. Хотя их предупреждали. И не раз.
                                                • +5
                                                  Думаю, большинство компаний игнорируют сообщение об ошибках потому, что если на них прореагировать, то начнутся внутренние разборки и поиски виноватых, которые легко могут закончиться депремированием всего отдела и увольнением менеджеров и специалистов по безопасности. Остаться после работы чтобы исправить и сделать коммит не позволяет SVN и логгирование, вот и сидят тихо в надежде, что пронесет.
                                                  • +7
                                                    Да ну, бред. Можно по-тихому выпустить патч в очередном апдейте. Можно по-дружбе скинуть своему человечку из отдела QA, он штатно откроет тикет в багтрекере. Да куча вариантов.
                                                    • +6
                                                      Мне скидывали дырку. Передал безопасникам так потом замучили вопросами откуда я этого человека знаю, что это за человек и т.д. Целые совещания собирались.
                                                      Никакого роялти за уязвимость не заплатили. Только нервов и времени кучу потерял. В общем больший профит сразу статьи писать. Хоть известность приобретешь которую худо бедно можно в таньгу конвертировать.
                                                  • +1
                                                    > Кто-то исправляет, но таких мало. Кто-то исправляет, но баги появляются снова (я даже не представляю, как они это делают). А многие просто забивают и игнорируют сообщения.

                                                    ```
                                                    git push --force
                                                    ```
                                                    • +5
                                                      Вы же в приличном обществе, и вдруг такое…
                                                    • +9
                                                      «если информацию о багах публиковать» — у меня возникают подозрение, что это единственный способ заставить их что-то делать, а не кормить отписками…
                                                      • 0
                                                        А что Сбербанк онлайн?
                                                        Выкатил пару дней на сайте двухфакторную авторизацию, на мойтелефон смс с подтверждением смог отправить и я благополучно зашёл, а на телефон мамы от её аккаунта он смс отправить не смог, в чём честно и признался.
                                                        Утром эту срань выпилили и вход очуществлялся по старинке с логином/паролем.
                                                        И я надеюсь, что все причастные получили знатных пиздюлей, чтобы больше такого не происходило.
                                                      • +9
                                                        Кто-то обнаружил, что пароль администратора был adminadmin

                                                        После этой фразы я потерял сознание… Очнувшись, понял, что чуть не проломил стол, стену и собственный лоб, отбивая «Фейспалм» и бъясь о разные твердые поверхности головой…
                                                        • 0
                                                          Лично наблюдал пароль рута admin в одной прошивке касс. :) Уже не удивляюсь… Общий уровень специалистов падает, результат налицо.
                                                        • 0
                                                          А как теперь оплачивать проезд в Будапеште, кто знает? Раньше были терминалы и бумажные билеты, что сейчас?
                                                          • +1
                                                            Думаю что они остались. Эта система вроде бы была в дополнение к уже существующей.
                                                            • +1
                                                              Остались. Есть разовые, суточные и т.п. Проездной на месяц привязывается к ID и передать его другому лицу нельзя (разве что другое лицо похоже на вас:) )
                                                          • +14

                                                            Сохранил статью в закладки как аргумент против пропаганды бездумного повсеместного White Hat этикета. Компании заслуживают сообщения об ошибках только за хорошее поведение.

                                                            • +2

                                                              …Выражающееся как минимум в наличии на корневой странице сайта ссылки на страницу с минимальным полиси:


                                                              • условия на которых разрешено "добросовестное" тестирование сайта на дыры (допустимый рейт запросов который не вызовёт DoS, требование не изменять данные реальных посторонних юзеров и не распространять данные к которым удалось получить несанкционированный доступ, etc.)
                                                              • email куда присылать отчёты о дырах/ошибках
                                                              • адекватный (до 3-х месяцев максимум) временной период после отправки письма, через который разрешено выкладывание инфы о найденной уязвимости в паблик
                                                              • отказ от преследования при условии следования вышеперечисленным правилам

                                                              А отсутствие на сайте такой инфы должно служить whitehat-ам сигналом выкладывать найденные дыры в паблик немедленно.

                                                              • +5
                                                                Есть пример сайта, на котором подобное действительно есть?
                                                                • +1
                                                                  У Valve (Steam) есть нечто отдаленно похожее. Если с сайта Steam перейти на сайт Valve (например по ссылке «О Valve»), там в контактах есть раздел Security Issues с email и рекомендуемыми действиями, но без отказа и «условий пентеста».

                                                                  Ранее была просто указана почта security@ в General Contact Info, но письма часто игнорировались. Дошло до того, что разработчик Euro Truck Simulator устроил Harlem Shake на своей странице в сообществе, не добившись от Valve ответа по XSS. Его забанили, последовали скандалы, закончившиеся вполне себе хэппиэндом. Почитать можно например тут, и год спустя.

                                                                  А вот на сайтах EA (Origin) / BattleNet (Blizzard) подобное сходу не находится
                                                                • +1
                                                                  Вот тоже интересно, есть ли такое хоть у кого-то?
                                                              • +4
                                                                Браво. В комментариях процветает правильная и мудрая мысль.
                                                                Если нашёл багу у компании, сначала проверь, участвует ли компания в баг баунти, если да, то продавай им уязвимость через баунти, если нет, то продавай уязвимость тому кто купит.
                                                                • 0

                                                                  Желательно участие в этом процессе могущественного арбитра типа пайпала.

                                                                • –1
                                                                  Постойте, то есть, герой сообщил об уязвимости ответственным за систему и потом, после того как достаточной реакции, на его взгляд, не последовало, он сообщил прессе?
                                                                  Перефразирую. Приходит к вам домой почтален, стучится — ни кто не отвечает. Он дергает ручку, обнаруживает, что дверь открыта — он оставляет посылку, берет печеньку и пишет записку — дверь была открыта, заперите пожалуйста, а то все печеньки растащат. P.S. взял печеньку.
                                                                  На следующий день приходит, проверяет дверь. Дверь открыта, он берет печеньку и идет на рыночную площадь и сообщает всем, что вот тот человек не запирает свои печеньки, хоть его и предупреждали.
                                                                  • –1
                                                                    Такова мораль хакеров. Т.е. он хакер, а не программист ))
                                                                    • +9
                                                                      Забыли добавить, что печеньки, хранящиеся у человека, принадлежат людям с рыночной площади
                                                                      • +5
                                                                        Угу, и человек не просто не запирает печеньки, а принимает их у людей с рыночной площади на ответственное хранение.
                                                                        • +5

                                                                          Вместе с паспортными данными...

                                                                          • +5

                                                                            … за хранение которых, люди с рыночной площади платят деньги человеку.

                                                                          • 0
                                                                            Ага, теперь они все могут ими поделиться между собой по критерию «кто вперед»
                                                                          • +24
                                                                            Прихожу я банк и вижу, что комната с банковскими ячейками имеет дверь для уборщицы, которая закрывается на щеколду снаружи здания.

                                                                            Я захожу внутрь (через дверь для клиентов), говорю ресепшену — мол, что ж за фигня — у меня там деньги хранятся. Ресепшен говорит «м… уу… м...» и всё. Я возмущён — там мои деньги хранятся — я привлекаю внимание общественности к факту, что у банка дверь без замка.

                                                                            Банк сажает меня за «взлом банковской системы путём сообщения неограниченному кругу лиц о том, что банк не запирает дверь в хранилище».
                                                                            • –2
                                                                              И всё бы хорошо, если бы для проверки своей идеи вы не зашли в хранилище и вынесли пару мешков для себя, в качестве эксперимента.
                                                                              • +8

                                                                                А без эксперимента банк будет говорить "Врет он все, у нас надежно". До тех пор, пока кто-нибудь не зайдет и не вынесет вообще все. Но только в случае эксперимента можно просто все вернуть, а вот найти уже грабителя может и не получиться. Как будто первый день живете.

                                                                                • +1
                                                                                  Есть законодательные нормы. Незаконное проникновение — незаконно.
                                                                                  • +1

                                                                                    Формально — скорее всего да. Хотя не удивлюсь, если найдутся страны в которых есть исключения в виде оправдания, если не награждения, в случаях, когда такое проникновение служит общему благу в каком-либо его виде. То, что их нет где-то говорит скорее о несовершенстве системы. А еще есть следование духу а не букве закона, что тоже в таком случае (если вы после того как вынесли пару мешков согласны добровольно их вернуть в целости) вас оправдает в случае когда суд заинтересован в благополучии общества, а не в собственной извращенной статистике или откатах банка, который вообще-то тоже заинтересован в нахождении таких дыр малой кровью, но почему-то иногда действует против своих же интересов.

                                                                                  • 0
                                                                                    И в момент горения пятых точек пухлых топ-менеджеров один из них вспоминает, что приходил недавно недовольный клиент и возмущался их первоклассной системой безопасности, на которую было запилено так много бюджетных енотов. Кого же теперь находчивые руководители будут прикладывать к своему больному месту, чтобы остудить накал страстей?
                                                                                  • +4
                                                                                    «неверная аналогия подобна котёнку с дверцей»
                                                                                    вынесли пару мешков для проверки, не остановят ли по дороге
                                                                                    после того, как не остановили, положил мешки снаружи, оставив номер телефона, через 10 минут мешки занёс обратно охранник, по указанному номеру так никто и не перезвонил
                                                                                  • 0
                                                                                    Кстати в одном банке как раз примерно так и было. Его и грабанули.
                                                                                • +2

                                                                                  А по-венгерски на Хабре ругаться можно, интересно?

                                                                                • –1
                                                                                  Не стоит лезть туда где дядьки пилят деньги…
                                                                                • +2

                                                                                  Погодите! T-Systems есть в России, в Питере. И наверняка кто-то из девелоперов есть на GT. Давайте призовем их к ответу за их говноконтору. Товарищи программисты, как же вы работаете в контора которая позволяет себе такое говнище. Не боитесь стать быдлоколерами? Или вы уже на РЖДшных подрядах поднаторели?

                                                                                  • –2
                                                                                    девелоперы
                                                                                    на GT
                                                                                    Вы правда считаете, что серьезные российские ИТ-компании(подразделения) состоят из кул-хацкеров, которым нужно попиариться в постах и посраться в жестко пре-пост и вовне модерируемых комментах?)

                                                                                    • 0
                                                                                      Заказчик считал, что если _очень дорого_ заказать у T-Systems — можно спать спокойно: ведь не может же такой монстр лажануть. Но. Скорее всего T-Systems просто взяла деньги, проект реализовывала дочерняя контора без опыта разработки таких проектов или вообще субподрядчик, не связанный с Т-Systems (и получившим заказ по знакомству). Все делалось, естественно, за минимально возможные деньги.

                                                                                      QA тестирует соответствие продукта ТЗ, где ни слова о том, что система не должна иметь пароля adminadmin или не должна пересылать/получать цену на клиентскую сторону. Так что с QA, уверен, там полный порядок ;)

                                                                                      На правах работника дочерней фирмы T-Systems
                                                                                      • 0

                                                                                        В нормальных компаниях есть тестирование безопасности и вообще sanity checking. Это не просто проверить на соответствие ТЗ.

                                                                                    • –1
                                                                                      Добро в наше время наказуемо.
                                                                                      • 0
                                                                                        Что-то сайт bkk.hu не открывается…
                                                                                        • 0
                                                                                          боятся русских хакеров
                                                                                          • 0
                                                                                            Скорее всего, своих хакеров боятся больше
                                                                                        • –4
                                                                                          Нормальная система. Рассчитанная на честность граждан. Я читал, что раньше, при Союзе, можно было зайти в автобус, там стоял аппарат для монеток, в него нужно было накидать монеток, а потом отмотать билет. В принципе, тут всё то же самое, только в электронном виде.

                                                                                          А студент просто оказался не готов к социалистическому будущему. Может, они там коммунизм втихую строят, электронный такой? А что при коммунистах с такими делали? Правильно — расстреливали наказывали! Вот его и наказали.

                                                                                          Там и президент носит роскошные усы, всё как положено! Интересно, курит ли он трубку?
                                                                                          • 0
                                                                                            >граждан
                                                                                            >интернет
                                                                                            • +1
                                                                                              А за что минусуем-то, товарищи? Смысл в том, что система доступна через интернет, т.е. фильтра ни по гражданству, ни по территории, с которой производятся действия с ней, там нет.
                                                                                            • 0
                                                                                              Хакер в столовой

                                                                                              Классика! :)
                                                                                              • +4
                                                                                                Система была хороша тем, что все граждане вокруг кассы внимательно следили, кто сколько в кассу кинул. Довольно распространено было входить в транспорт, если у тебя проездной, предъявлять его всем пассажирам и говорить «Проездной». То есть, был общественный контроль!
                                                                                                С описанной здесь ситуации вообще никаких аналогий нет.
                                                                                                • –2
                                                                                                  О да! Я помню это! Я еще застал это, был ребенком, но помню этот чудо-аппарат. Он был с таким куполом сверху из оргстекла и резиновая лента с рисками для пятаков.
                                                                                                  • –1
                                                                                                    О да, я как раз любил прикрыв ладошкой моетоприемник и сделав вид что кидаю монетку, оторвать билетик даром. Я тогда был второклассником и любил кататься в аэропорт. Меня иногда палили и отчитывали старушки, но с автобуса никто не гнал и билет не отбирал.
                                                                                                  • 0
                                                                                                    Да неужели следили? С проездным, действительно, была такая мода. Но разве что-то делали с тем, кто не предъявил проездной и не купил билета?
                                                                                                    • 0
                                                                                                      1. Контролёры выписывали и отбирали штраф либо препровождали в отделение.
                                                                                                      2. Водитель проводил контроль при выходе, если видел безбилетника.
                                                                                                      • 0
                                                                                                        Нет, при чём здесь контролёры и водитель? Вы написали, что

                                                                                                        все граждане вокруг кассы внимательно следили, кто сколько в кассу кинул… То есть, был общественный контроль!


                                                                                                        Вот я и спрашиваю, неужели граждане (пассажиры) следили? И разве они что-то делали с тем, кто не предъявил проездной и не купил билета?
                                                                                                        • 0
                                                                                                          «Вы написали, что » — посмотрите внимательно, кто что написал.
                                                                                                          • 0
                                                                                                            Прошу прощения, я тоже оказался невнимателен :)
                                                                                                    • 0
                                                                                                      > Довольно распространено было входить в транспорт, если у тебя проездной, предъявлять его всем пассажирам и говорить «Проездной».

                                                                                                      Это правило присутствовало в «Правилах пользования общественным транспортом», экземпляр которых был вывешен в каждом вагоне.
                                                                                                  • +2
                                                                                                    И самое смешное – вы могли сами установить цену...

                                                                                                    Да там — ВСЁ самое смешное.
                                                                                                    • 0
                                                                                                      А ссылки на источник нет?
                                                                                                    • 0
                                                                                                      Заплатил 50 форинтов и был задержан на несколько часов за то, что нашел уязвимость. А вообще, я считаю, что у любой крупной компании должна быть поддержка ИБ, чтобы напрямую писать о найденных уязвимостях. В противном велика вероятность пропустить уязвимость в массы, так как обычная поддержка не поняла серьезности проблемы и не сообщила куда следует.
                                                                                                      • +4
                                                                                                        Helloworld — уязвимости. Чтобы допустить такие ошибки, это должно быть вообще первое приложение, которые ты реализовывал в своей жизни.
                                                                                                        • +1

                                                                                                          Набрали студентов на практику)

                                                                                                          • +2
                                                                                                            Как автор написал в статье, большинство студентов бы сделали лучше. У нас как раз студенты практику проходят, над этими уязвимостями они очень даже поржали :) Разве только они набрали студентов из гуманитарных вузов.
                                                                                                            • +1

                                                                                                              Справедливости ради, студенты могли бы сделать лучше в конкретно этих моментах, но не факт