Ungarsk teenager advarede om fejl i billetsystem - blev hentet af politiet om natten

Illustration: Virrage Images/Bigstock
45.000 brugere har på Facebook straffet et ungarsk transportselskab for at anmelde en teenager, som opdagede en svaghed i selskabets it-system.

En 18-årig mand er blevet arresteret i Ungarn efter at have advaret et transportselskab om et gabende sikkerhedshul i et billetsystem.

Det skriver blandt andet mediet Bleeping Computer.

Læs også: KMD politianmelder konkurrent-ansat for hacking - det er optaget på video

Den ungarske teenager fandt ud af, at han ved at ændre en POST-request kunne ændre prisen, på en given billet. Prisen blev ikke efterfølgende valideret på serversiden, hvilket gjorde den unge mand i stand til at købe billetter, som burde koste 350 kroner, til få kroner.

Opdagelsen fik teenageren, der ikke har ønsket at stå frem med navn, til at henvende sig til Budapesti Közlekedési Központ (BKK), der står for den offentlige transport i den ungarske hovedstad.

Læs også: Lovråd slår fast: ‘URL-hacking‘ er ikke hacking

BKK reagerede prompte på oplysningen - ved at melde den unge mand til politiet, der arresterede den 18-årige midt om natten. Anholdelsen blev fulgt op af et pressemøde, hvor BKK forsikrede, at systemerne var sikre, og 'hackeren' var fundet.

Efterfølgende kunne andre white hats påpege øvrige fejl i billetsystemet - som blandt andet gjorde det muligt at få fingre i kunders login-oplysninger

Hele affæren har siden givet enormt bagslag på Facebook, hvor over 45.000 mennesker har givet selskabet én ud af fem stjerner og desuden delt en meddelelse fra den unge ‘hacker’.

Teenageren, der ikke bor i Budapest og aldrig brugte den falske billet, håber nu at selskabet vil trække anmeldelsen tilbage.

I juni kunne Version2 berette, at KMD havde politianmeldt en it-ekspert, der gjorde selskabet opmærksom på en sikkerhedsfejl i et pladsanvisningssystem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Hansen

Det eneste man rigtigt kan konkludere på alle de her sager er, hvis man finder et sikkerhedshul / issue / fejl / whatever, er at logge på tor, smide det hele på pastebin eller lign., og sende et link til pressen med en throwaway email konto (oprettet på/sendt fra tor).

Er det optimalt, nej, det burde ikke være nødvendigt, men når virksomhederne / staten ikke reagerer fornuftigt, og i stedet skyder budbringeren, er det vel sådan tingene må være, desværre.

  • 34
  • 0
kenneth krabat

Disse sager forekommer at handle om afstanden mellem de "gamle" bestillere af IT-systemer og de "unge" udførere (og så de unge, der kravler rundt i IT-systemer som andre klatrer i bjerge - "fordi de ér der"). Altså, et spørgsmål om erfaring med det analoge, det synlige, der virker eller ikke virker, og det digitale, det skjulte, der kan virke, selvom det er fuld af huller.

Og så ER det nemmere at skyde budbringeren end indrømme egne fejl.

Dertil kan siges, at politianmeldelse jo kan være "for en sikkerheds skyld" - indtil sagen er udredt, netop fordi "de gamle" ikke forstår årsagerne til svigt i systemet. Og at de unge tilsvarende ikke ser en politianmeldelse fra andet end deres egen side.

  • 10
  • 0
Kenneth Dornhoff

En modificeret POST-request bør i min optik aldrig kunne betegnes som hacking, da man på intet tidspunkt har fingrene i deres maskineri. Man "submitter" blot nogle data, og så må det være op til serversiden at validere disse data.

I dette tilfælde har der ikke været validering på billetprisen, og så har man været i stand til at snyde systemet.

Hacking, nej! En form for dokumentfalsk, måske... :)

  • 16
  • 0
Mark Klitgaard

Kan det ikke kaldes hacking, hvis man ændrer en POST request? I så fald skal man vel ind og rode med browserens debugger, hvorimod en GET request kan ændres blot ved at pille lidt ved browserens adressefelt?

Om man bruger Fiddler eller adresselinje gør i min optik ikke den store forskel, og så især i den her sag hvor manden tilsyneladende blot har konstateret fejlen og derefter rapporteret den, der har han potentielt sparet dem for en masse penge.

I dette tilfælde har der ikke været validering på billetprisen, og så har man været i stand til at snyde systemet.

Hacking, nej! En form for dokumentfalsk, måske... :)

Billetprisen burde i min optik slet ikke være en del af POST requesten, i stedet tænker jeg det ville være bedre at sende hvilken billettype det er og så lade serveren finde prisen ud fra billettypen.

  • 16
  • 0
Benjamin Balder

§ 263 b. Således straffes med over 9000 års fængsel bestyrelsen og direktionen i en virksomhed, der politi-anmelder borgere for at have underrettet virksomheden om et sikkerhedshul i et, af virksomheden udviklet eller driftet, system.

  • 21
  • 2
Pilu Kasper Bech

"§ 263 b. Således straffes med bøde til alle bestyrelsemedlemmer og direktionen eller ledelse i en virksomhed eller oftenlig institution, der uretmæssig politi-anmelder borgere for at have underrettet virksomheden om et sikkerhedshul i et, af virksomheden udviklet eller driftet, system."

Skal vi ikke lave det om til bøde på ikke mindre end 1.000.000,00 kr. tror det virker bedre... ;) Gider heller ikke havde dem til at fylde op i fængslerne.

  • 7
  • 2
Ebbe Hansen

Måske samme bødesatser som persondataforordningen Evt suppleret med personligt forbud mod at oppebære en indtægt over kontanthjælpsniveau for enlige i en årrække, for de involverede personer.
Det har aldrig gavnet samfundet at sætte nogen i spjældet.

  • 3
  • 0
Henrik Biering Blogger

Billetprisen burde i min optik slet ikke være en del af POST requesten, i stedet tænker jeg det ville være bedre at sende hvilken billettype det er og så lade serveren finde prisen ud fra billettypen.

Ja, såfremt meningen var at have en helt rigid prispolitik!

Men når man helt bevidst har lavet mulighed for at brugere kan "prutte om prisen", sådan som der har været tradition for siden begrebet "handel" blev opfundet - og dertil accepterer de priser brugeren tilbyder i det sprog, der kommunikeres i - er der næppe noget grundlag for efterfølgende at komme efter brugeren, så længe der kun er købt svarende til normalt/eget forbrug.

  • 8
  • 0
Carsten Gehling

Hvorfor pentester man systemer uden tilladelse?

Fordi man kan. Fordi det er der. Nysgerrighed, lysten til at udforske, kløen i fingrene...

Se f.eks. artiklen https://www.version2.dk/artikel/kommentar-maaske-alligevel-svaert-med-at... - især afsnittet:

"I Eye of the Beholder var det muligt at ændre i sine save games, så hvis man gættede de rigtige hex-værdier, så fik man de vildeste magiske våben."

Derfor. :-)

  • 4
  • 0
Kjeld Flarup Christensen

Kan det ikke kaldes hacking, hvis man ændrer en POST request?


Jo så bruger han systemet på en måde der ikke var tænkt. Den er sådanset god nok.
Men hacking er i ordets traditionelle forstand ikke ulovligt.

Vi kommer så ind i en gråzone, hvor man skal vurdere om der er sket skade. Det ser det ikke ud til her. Fejlen er påvist og så har teenageren stoppet.

KMD sagen er dog mere grumset, for her fortsatte manden tilsyneladende med at lave et script, efter at fejlen egentligt var fundet.
Hvor langt kan man gå under dække af at være White Hat. Kunne han downloade hele CPR registret, bare for at bevise fejlen?

Det der mangler er nogle domstolsafgørelser. Men jeg er bange for at domstolene skal klædes bedre på først.

  • 3
  • 0
Thomas Jensen

KMD sagen er dog mere grumset, for her fortsatte manden tilsyneladende med at lave et script, efter at fejlen egentligt var fundet.

Hvilken fejl? At man kunne tjekke et CPR nummer eller at man kunne tjekke alle dem man ville? :-)

Ved at lave et script kunne han teste om der var en mere alvorlig fejl, nemlig om der var lavet en begrænsning på hvor mange data man kunne trække ud. Det var der ikke, hvilket må betegnes som en endnu fejl. Altså havde scriptet sin berettigelse.

Hvor langt kan man gå under dække af at være White Hat. Kunne han downloade hele CPR registret, bare for at bevise fejlen?

Ja, hvorfor ikke? Ved at gøre det, beviser han i hvert fald at det var muligt. Der er jo ikke noget der er mistet eller blevet ødelagt. Han har kun demonstreret, at en blackhat med skumle hensigter uden store problemer ville kunne gøre det samme.

  • 3
  • 1
Tania Andersen Blogger

Ang. den danske sag: Den pågældende har været til afhøring hos Politiet. Derefter skal andre i sagen afhøres, og så bliver sagen sendt til anklagemyndigheden, der afgører om der skal rejses tiltale.

Hvornår det sker vides endnu ikke, men vi følger sagen på Version2.

Mvh

Tania Andersen, Version2

  • 10
  • 0
Ib Larsen

Personen i den sag undlod at overveje, hvilke konsekvenser det ville få for ham selv at optræde som ordentlig samfundsborger og gøre opmærksom på fejlen.

Det afspejler desværre en vis naivitet om hvilke incitamenter loven giver et firma med dårlig datasikkerhed.

Firmaet har måske nok retten på sin side, så hvis det kan få statens ord for at det er offer i sagen ved at gå efter ham, der offentliggør fejlen, er der naturligvis alle mulige incitamenter til ikke at bifalde selv en whitehat.

  • Alternativet ville være, at det lod sagen passere men selv i så fald ville det stadig stå tilbage som et firma med dårlig datasikkerhed, istedet for at det kunne hævde det var offer for en forbrydelse.

  • I alle sager, hvor man på den ene side har en hacker, og på den anden side en myndighed eller et firma med dårlig sikkerhed, bliver udgangen som regel at dataindehaveren med dårlig sikkerhed går ud af sagen uden alvorlige konsekvenser.

Så læren af den sag må være, at man er dum hvis man afslører at man har fundet en fejl.

  • Gud bevares drengen har inkrimineret sig selv helt frivilligt, hvilket i sig selv er udtryk for himmelråbende uvidenhed.

Hvis politiet ikke kan tvinge en til at svare på om man har foretaget sig det, som vedkomne af ejen fri vilje har vedkendt sig, er det da torskedumt at indrømme det selv - uden at være nødsaget til det.

  • 2
  • 2
Kenn Nielsen

Personen i den sag undlod at overveje, hvilke konsekvenser det ville få for ham selv at optræde som ordentlig samfundsborger og gøre opmærksom på fejlen.


Og at dette synes klart, burde få nogle lovgivere til at reflektere.

Så læren af den sag må være, at man er dum hvis man afslører at man har fundet en fejl.


Mnjaa, men man skal nok ikke afsløre hvem man selv er når man afslører fejlen.

Hvis politiet ikke kan tvinge en til at svare på om man har foretaget sig det, som vedkomne af ejen fri vilje har vedkendt sig, er det da torskedumt at indrømme det selv - uden at være nødsaget til det.


Ja.
Man kunne argumentere for at, anonym offentliggørelse ville tvinge (KMD i dette tilfælde) til at rette, - men samtidigt også give dem serveretten til at 'bortforklare', så de sårede ego'er ikke bliver (alt for) hævngerrige.

K

  • 0
  • 0
Martin Olesen

Hvad nu hvis jeg holder "åbent hus" så alle kan komme, kan jeg så Politianmelde en person hvis jeg finder ham et sted på grunden hvor jeg helst ikke vil have gæster?

Jeg vil mene en åben port er det samme som åbent hus, du lukker selv folk ind af døren, og hvis du ikke kan lide de kommer og ser på alle lokalerne i dit hus må du jo låse nogle døre hvilket de jo ikke har sørget for at gøre i dette tilfælde.

  • 2
  • 0
Log ind eller Opret konto for at kommentere