Gravi errori rendono insicura la nuova biglietteria elettronica di Budapest

Il BKK (Centro Trasporti di Budapest) ha lanciato questa settimana l’interfaccia di acquisto di biglietti e leasing online. Indice, tuttavia, ha riferito venerdì che ci sono gravi carenze di sicurezza nel sistema. Tra le altre cose, con una “basic hacking” chiunque potrebbe ottenere un contratto di locazione per tutti i soldi che vuole.

Un hacker etico ha inviato un’osservazione ai giornalisti di Index, che è stata confermata da diversi altri esperti indipendenti in seguito, BKK ha risposto alla notizia poco dopo

“BKK ha tristemente sperimentato che il installazione riuscita e il corretto utilizzo del nuovo canale di vendita online lanciato ieri è stato continuamente influenzato dagli attacchi informatici, ha aggiunto”. “Il sistema ha iniziato a funzionare utilizzando una funzionalità di monitoraggio automatico abusivo in fase di lancio, che rileva tali tentativi e innesca un’azione immediata.”

Gravi errori rendono pericoloso il nuovo sistema di biglietteria elettronica di Budapest BKK

La storia però non finisce qui Sempre più errori di sicurezza amatoriali ci avvertono su Internet, 24.hu ha ricevuto anche i commenti di un esperto che ha evidenziato diverse impostazioni di sicurezza sbagliate Tra l’altro, il Sistema di acquisto di biglietti BKK memorizza le password degli utenti come testi grezzi, non li hash Quindi con le password più comuni (ad esempio 123456),

puoi facilmente entrare nel conto di qualcun altro.

Inoltre, anche le informazioni di accesso non sono sicure La password viene trasmessa dai parametri di richiesta HTTP Quindi appare anche sul server proxy tra l’utente e il server Qualcuno ha avvertito su Tumbl che gli operatori di sistema hanno lasciato la coppia di password di admin username (adminadmin password) Adminadmin Pertanto un utente malintenzionato può facilmente accedere o utilizzare in modo improprio tutte le informazioni personali di tutti gli utenti Naturalmente, hanno segnalato l’errore a BKK immediatamente.

Ma questo non è ancora tutto: l’esperto di 24.hu ha scritto inoltre che, modificando un profilo attraverso un account registrato, si può modificare il codice sorgente della pagina, così si possono ottenere eventuali dati di qualsiasi utente, comprese le password, infine si possono ottenere le password anche inserendo una password errata, in caso di password dimenticata si può acquisire anche il codice di conferma inviato dal sistema via e-mail dalla risposta del server di ritorno.

Foto: MTI

Ce: bm

Tags

Leave a Reply

Your email address will not be published. Required fields are marked *