Mladík našel bug v systému budapešťské MHD, místo odměny na něj poslali policii
25.7.2017, Milan Šurkala, aktualita
18letý mladík si hrál s objednávacím systémem jízdenek maďarského dopravce BKK v Budapešti. Mohl si koupit lístek za libovolnou cenu. Chybu okamžitě nahlásil, nicméně místo díků na něj ráno zaklepala policie a podrobila výslechu.
Spousta společností má programy "bug bounty", kdy ten, kdo nahlásí závažnou chybu v systému, dostane odměnu. Dělá to tak např. Facebook nebo Microsoft, týká se to ale také i jiných odvětví jako jsou automobilky. Tzv. bug bounty program má např. Tesla nebo Chrysler. Někdy to dělá tisíc dolarů, ale v případě Facebooku to v minulosti bylo i přes 10 tisíc dolarů. Kdo ho ale určitě nemá, je systém budapešťské MHD (dopravce BKK). 18letý mladík si totiž hrál s jejich objednávacím systémem a přišel na to, že je opravdu snadné jakémukoli lístku změnit cenu. Vyzkoušel to na jízdence za 9459 forintů (cca 800 Kč), které přepsal cenu na 50 forintů a zakoupil ji. O chybě okamžitě informoval dopravce, následná reakce ale byla opravdu nečekaná.
Místo toho, aby dopravce mladíkovi poděkoval a případně jej za nalezení chyby a oznámení odměnil, jak to bývá běžné, vše vyústilo v zavolání policie za hackerský útok, která ho podrobila výslechu. Mladík navíc ani jízdenku nevyužil, v Budapešti dokonce ani nebydlí. CEO společnosti BKK Kálmán Dabóczi pak navíc svolal tiskovou konferenci, na které oznámil dopadení hackera. Mladík si to ale nenechal líbit a zveřejnil svou verzi příběhu a motivaci na Facebooku.
Trolejbus Ikarus 280T v Budapešti
Následně se strhla mela a Dabóczi se k problému vyjádřil v rádiu. Nejprve tvrdil, že mladík schválně poslal e-mail na nepoužívanou adresu (nicméně policejní razie ukázala, že to někdo přeci jen četl) a posléze se věnoval společnosti T-Systems, která byla tvůrcem aplikace, a která byla nakonec tím, kdo informoval policii (tehdy na údajně neznámého útočníka). Situace se zhoršila ještě více poté, co vyšlo najevo, že BKK platí společnosti T-Systems okolo 25 milionů korun ročně za správu takto děravého systému.
Na protest začali lidé hodnotit facebookové stránky BKK jednohvězdičkovým hodnocením a ke dnešku tak udělalo již 47 tisíc lidí. Naopak společnost T-Systems by (nyní po vyjasnění okolností) ráda nabídla mladíkovi spolupráci, pokud o ni bude stát. V příspěvku na Facebooku navíc zmínila, že bug bounty programy v Maďarsku vlastně ani neexistují a chtělo by to přijít s nějakým obecným konsenzem na toto téma.
