少年通知購車票漏洞反被捕 布達佩斯運輸中心FB負評暴增

少年通知購車票漏洞反被捕 布達佩斯運輸中心FB負評暴增
Christo, CC BY-SA 4.0
我們想讓你知道的是

管理布達佩斯公共交通的BKK近日受到猛烈抨擊,Facebook專頁收到超過4萬個最低的一星評分,一切源於其網上購票系統的漏洞。

唸給你聽
powered by Cyberon

近日管理布達佩斯公共交通的營運商BKK網站被攻擊,其Facebook專頁收到超過4萬個最低的一星評級,BKK辦公室外亦有示威者聚集抗議。

事緣BKK最近在德國電訊旗下的T-Systems Hungary協助下,推出網上令款系統,希望能於現正在當地舉行的世界游泳錦標賽前使用。不過系統有大量低級錯誤和漏洞,例如未有把密碼加密、會將密碼透過電郵傳給用戶、管理帳戶的密碼是「adminadmin」等。匈牙利媒體發現系統大量漏洞,但BKK和T-Systems堅稱系統運作正常。

約兩星期前,當地一名18歲少年發現在BKK網站買車票時,只要按下F12開啟「開發者工具」,便可以於瀏覽器內修改票價。由於伺服器方面沒有檢查,因此這名少年能夠按其修改後的價錢購買車票。布達佩斯的多種交通工具,包括地鐵、巴士、電車等,都是使用同一款車票。少年發現漏洞後,立即告訴BKK他能夠以50福林(Forint)購買原價9500福林的月票——以港幣計算,就是原價283元大減至1.5元。

豈料在7月21日早上,4名探員上門拘捕這位少年。BKK的行政總裁Dabóczi Kálmán在記者會上宣布,他們向警方報案,捉到一位黑客,又向眾人表示網站現在非常安全。不少人在BKK及T-Systems的Facebook留下最低的一星評級。

評分者又貼出據稱是涉事少年的Facebook貼文英譯版本,來源應為Facebook專頁「Etikus bűnözőz」(根據Google翻譯,意思是「ethical criminal」),原文獲轉載逾三千次。內文指少年在向BKK匯報漏洞後,四天都未有收到他們的回應,卻在記者會見到BKK稱這是黑客攻擊,並指希望保持匿名,呼籲網民協助廣傳貼文。

引起眾怒後,Dabóczi在電台辯稱少年把電郵傳給一些公司不會閱讀的帳戶,然後在網上公開漏洞。他又嘗試把焦點轉移至T-Systems,表示已要求該公司的行政總裁撰寫報告,解釋事件,以及是T-Systems作出投設,不是BKK。

在T-Systems被揭發每年收取高達100萬美元來維持系統運作及安全後,其行政總裁Kaszás Zoltán為事件道歉,承認BKK系統落後,又稱雖然對「那少年的案件」感到同情,但「在這情況下,除了舉報不知名的犯罪者外沒有其他選擇。」有見輿論反對T-Systems及BKK,Kaszás表示他希望提供跟少年合作的機會,又宣布公司會舉辦尋找漏洞的「道德黑客」(ethical hacking)計劃。

目前仍未確定少年最終會否面臨訴訟,不過事件亦帶出一個重要問題︰假如為研究網絡安全而尋找漏洞,並向涉事公司報告,這種自發的「白帽」黑客應否受法例保障,以免被控告?

相關文章︰

資料來源︰