Zatknutie za nahlásenie bugu v systéme verejnej dopravy v Budapešti
18-ročný mladík, ktorý našiel neuveriteľne zahanbujúci bug v systéme verejnej dopravy v Budapešti, bol zatknutý za to, že chybu okamžite nahlásil zodpovedným. Chyba spočívala v tom, že ako kupujúci si mohol upraviť cenu lístka obyčajnou zmenou údajov, ktoré sa posielajú v rámci objednávkového formulára na server. Systém bol vyvinutý firmou T-Systems Hungary a obsahoval ďalšie amatérske chyby. Podrobnejšie je to rozpísane na tomto blogu.
Cenná informace.
No jo, Maďaři...
Není špatný ten, kdo něco špatného udělá, ale ten, kdo na to poukáže. Nevěřím, že něco podobného by se stalo v normální firmě na Západě - tam by mládenec dostal finanční odměnu.
Příště bude chytřejší a info prodá na darkwebu za bitcoiny.
Tech blbosti co tam firma T-Systems Hungary napachala je dle zpravy mraky, viz ukladani hesel v plaintextu apod.
Trochu mi to pripomina 'kvalitni' vyberova rizeni u nas v CR, kde dostane zakazku firma stara 5 dni, cirou nahodou s majitelem na cayman islands
Ano, firmu T-Systems zname i u nas. Mi to pripada, ze tyhle firmy i treba HP se vylozene specializuji na verejne zakazky, u kterych to vzdy nejak "poresi" a ziji jen z toho.
No kdyz tam vidim veci jako nijak nesifrovana hesla uzivatelu, zadny permission handling nebo admin heslo "adminadmin", tak to musel byt tunel jak prase. Takhle pitomej si muze dovolit byt jen student na SS.
a to by ses divil. Běžně je to tak, že se beta překlápí do ostra, a v zájmu stability a funkčnosti se na to "už nešahá."
Kolikrat to ten student SS udela mnohem lip :) Ale samo je to ostuda, kdyby to nebyl tunel, tak bych si mozna i myslel, ze to je tunel :D
Ja mozem potvrdit, ze ani tzv eticky hacking sa nevyplaca.
Z cias mojich studii som objavoval caro snifovania a mim utokov na intraku a da sa povedat, ze som "hackol" kazdy pc na sieti.
Ked som na slabiny nezabezpecnych protokolov upozornil dotycnych prvy krat ocakaval som nieco ako vdaku...ze diky kamo, ze si nam ukazal, ze nase hesla nie su v bezpeci, ze si nam ukazal co si mame vsimat (napriklad zmenu fingerpirntu, ktoru mi odklikol kazdy vtedy;o)) a coho sa vyvarovat...namiesto toho som si zlizol nadavky a staznosti u admina siete, ktory sa naopak ukazal ako jediny chapavy a dostal som moznost spoluriadit intrakovy linuxovy server.
Nechapal som to a dodnes nie velmi chapem, hesla som samozrejme nikdy nezneuzil, ludom som odporucil ich zmenu a navyse pointa bola v tom, ze ked som to dokazal ja moze to dokazat aj niekto iny a ten nemusi byt taky "eticky" ako ja, ze sa prizna a pokusi sa sirit osvetu.
Každý dobrý skutek musí být potrestán...