Schwere Fehler machen das neue elektronische Ticketverkaufsdatum in Budapest unsicher

Die BKK (Budapest Transport Center) hat diese Woche die Online-Schnittstelle für den Ticket- und Leasingkauf eingeführt. Index“berichtete jedoch am Freitag, dass es grobe Sicherheitsmängel im System gibt Unter anderem bei einem “Basic Hacking” Jeder könnte einen Pachtvertrag für so viel Geld bekommen, wie er möchte.

Ein ethischer Hacker schickte eine Bemerkung an die Journalisten von Index, die später von mehreren anderen unabhängigen Experten bestätigt wurde. Die BKK antwortete kurz darauf auf die Nachricht:

“Trübsinnig hat die BKK erlebt, dass die Erfolgreiche Installation und die ordnungsgemäße Nutzung des gestern gestarteten neuen Online-Verkaufskanals wurde kontinuierlich durch Cyberangriffe beeinflusst, fügten sie hinzu. „Das System begann in der Startphase mit der Verwendung einer automatischen Überwachungsfunktion für missbräuchliche Handlungen zu funktionieren, die solche Versuche erkennt und sofortige Maßnahmen auslöst.“”

DBZOL X
Schwerwiegende Fehler machen das neue elektronische Ticketsystem Budapest unsicher, BKK

Die Geschichte endet hier jedoch nicht Immer mehr Amateur-Sicherheitsfehler warnen uns im Internet.24.hu erhielt auch die Kommentare eines Experten, der mehrere schlechte Sicherheitseinstellungen herausstellte, unter anderem die Ticketkäufersystem der BKK Speichert die Passwörter der User als Rohtexte, es hasht sie nicht Also bei den gängigsten Passwörtern (z.B. 123456),

Sie können leicht in das Konto eines anderen einbrechen.

Außerdem sind Login-Informationen auch nicht sicher Das Passwort wird durch HTTP-Request-Parameter übertragen Also erscheint es auch auf dem Proxy-Server zwischen Benutzer und Server Jemand warnte auf Tumblr, dass die Systembetreiber das Admin-Benutzername-Adminadmin-Passwortpaar verlassen haben Daher kann ein böswilliger Benutzer problemlos auf alle persönlichen Daten aller Benutzer zugreifen oder diese missbrauchenNatürlich meldeten sie den Fehler sofort der BKK.

Doch das ist immer noch nicht alles: Der Experte für 24.hu Schrieb auch, dass durch die Änderung eines Profils durch ein registriertes Konto der Quellcode der Seite bearbeitet werden kann, so können beliebige Daten eines beliebigen Benutzers erhalten werden, einschließlich der Passwörter Schließlich können Sie die Passwörter auch durch Eingabe eines fehlerhaften Passworts erhalten Im Falle eines vergessenen Passworts können Sie den vom System gesendeten Bestätigungscode auch per E-Mail von der zurückkehrenden Serverantwort erhalten.

Foto: MTI

Ce: bm

Tags

Leave a Reply

Your email address will not be published. Required fields are marked *