Hirdetés

BKK online bérlet: két szék között a pad alá

|

Lehetett volna legalább kényelmes, bár nem korszakalkotó megoldás, ehelyett falrengető kudarc lett a Budapesti Közlekedési Központ legutóbbi okosváros-projektje, az online bérlet. A történet és egy kevéske abból, ami mögötte van.

Július 13-án délután, sajtóértesülések szerint mindössze háromhavi fejlesztés és néhány órás házon belüli "teszt" után éles üzemre kapcsolt a BKK online jegy- és bérletértékesítő oldala, a shop.bkk.hu. Megoszlanak a vélemények arról, hogy három hónap kevés vagy bőven elegendő egy ilyen funkcionalitású webbolt elkészítéséhez, mindenesetre - a megrendelő és a fejlesztő közötti ideális együttműködést és a szoftverfejlesztési aranyszabályok betartását feltételezve - születhetett volna amatőr hibáktól mentes, közmegelégedésre szolgáló rendszer is.

Mit kívánt nyújtani az utazóközönségnek a BKK? Kezdetben teljes árú és tanuló, félhavi és havi Budapest-bérletek, 24, 72 órás és hetijegy vásárlására adott (volna) lehetőséget a társaság, amit később további, nem részletezett termékek megvásárlására is ki kívántak terjeszteni. Biztonsági és érvényességazonosítási elemként a QR-kód mellett döntöttek, ezt a felszállásnál, jegyellenőrzésnél kódolvasóval lehet ellenőrizni, a frissítéshez pedig legalább napi egyszer kell(ene) belépniük a felhasználóknak mobiljukkal a webes felületre. Az online vásárlás első lépése azonban a regisztráció az igazolványszám megadásával, ezt követi a kívánt jegy vagy bérlet kiválasztása a jegyeladó automatáknál megszokott módon, majd az érvényesség kezdő dátumának beállítása, végül a bankkártyás fizetés.

Ötven forintos bérlet
Mint ismeretes, a bankkártyás tranzakció kezelésében rejlő hibát - a kosárba tett termék árának módosíthatóságát - egy gimnazista vette észre (és ezt jelezte a BKK email-címén). Talán sokan emlékeznek még rá, hogy az első hazai webáruházakban fordult elő ugyanez a bug, ennek köszönhetően vehetett néhány szemfüles vásárló 1 forintért plazmatévét sok-sok évvel ezelőtt. Lényegében arról van szó, hogy ez esetben a BKK szervere közli a böngészővel, mennyibe kerül a bérlet, a banki rendszer viszont validálás nélkül elfogadja az átírt árat, mintha a kólaautomata a 250 forintos üdítőt 10 forintért is kiadná. Ezen a ponton a fővárosi tömegközlekedők még gazdagabbak lehettek volna egy sok milliárd adóforintba kerülő online rendszerrel, de - legalábbis egyelőre - nem lettek.

A szoftverben rejlő bugról a BKK-n kívül lényegében egy füst alatt a szenzációra fogékony sajtót is tájékoztatta a fiatalember, akit a rendőrség rövidesen előállított. Osztályozható a hatósági eljárás jelesre vagy elégtelenre, tény, hogy a fiatalember nem várta meg a BKK visszajelzését.

- Ha megsejtünk egy sérülékenységet valaki más rendszerében, akkor ellenőrizzük, hogy a sejtésünk helytálló-e (reprodukáljuk a hibát), és amennyiben igen, azonnal értesítjük a szolgáltatót. Ezt követően időt szoktunk adni a hiba javítására, vagy legalább arra, hogy az érintett jelezze, tudomásul vette azt, és mielőbb javítani fogja. Amennyiben azonban a szolgáltató nem reagál, akkor nyilvánosságra szokás hozni a sérülékenység tényét annak érdekében, hogy ha ő nem jár el felelősségteljesen, akkor a felhasználók tehessék meg a szükséges óvintézkedéseket - fogalmazott nyilvános posztjában Ördög Rafael, az Emarsys webfejlesztője.

Ezúttal azonban elszabadultak az indulatok. Sorozatos kibertámadások után az üzemeltető leállította a rendszert, de addigra további hiányosságokra is fény derült, így például arra, hogy sem a felhasználói adatokat, sem a jelszavakat nem titkosították kellőképpen, a felhasználói profilok védelme hiányos, lehallgatható volt a böngésző és a szerver közötti kommunikáció, így a regisztrált felhasználók érzékeny adatai, sőt naplófájlok kerülhettek kibertolvajokhoz. Hírek szerint 3481 név, felhasználónév, email-cím, jelszó, személyiigazolvány-szám vált publikussá, ők sérelemdíjért perelhetnek.

Dabóczi Kálmán vezérigazgató a BKK nevében elnézést kért a kellemetlenségekért, és kárpótlást helyezett kilátásba az értékesítési csatornának bizalmat szavazó utasoknak. Kaszás Zoltán, a T-Systems Magyarország vezérigazgatója levelében az etikus hackerség fogalmának tisztázását sürgette.

- Eljött az ideje, hogy Magyarországon is megkezdődjön az "ethical hacking" tevékenység körüli társadalmi és szakmai párbeszéd, és megteremtődjenek e tevékenység törvényes, szabályozott keretei - fogalmazott. Röviddel később arról tájékoztatott, hogy a T-Systems független szakértői vizsgálat lefolytatására kérte fel az EY nemzetközi tanácsadó céget.

E sorok írása idején a BKK Online Shop által nyújtott szolgáltatások nem érhetőek el, és a cég kommunikációs csapatának tájékoztatása szerint ebben a Tarlós István főpolgármester által elrendelt átfogó vizsgálat lezárása előtt nem várható változás.

Hol csúszott el?
Magyarországon általános gyakorlat, és nem is csupán a szoftverfejlesztési projekteknél, hogy a megvalósításra szánt idő háromnegyede előkészítéssel, tendereztetéssel, közbeszerzéssel megy el, és a tényleges tervezésre, megvalósításra csak az idő negyede marad. Ugyanakkor a megrendelő első pillanattól kezdve úgy tekint a termékre, mintha az már készen is volna - fogalmazott lapunknak az egyik információbiztonsági vállalat vezetője. Szerinte tovább rontja a helyzetet, hogy a munkaerő elvándorlása és egyes cégek HR-politikája miatt mind kevesebb a szenior munkatárs, a juniorok pedig nem minden feladattal képesek megbirkózni.

A BKK Online Shop indítását felső utasítások sürgették, és az sem kizárt, hogy időszűkében egy eredetileg nem erre a célra kitalált rendszert kalapáltak át a T-Systemsnél abban a meggyőződésben, hogy a hiányosságait ráérnek a későbbre tervezett, nagyobb tudású változatban javítani - találgatott informátorunk. Elképzelhető, hogy erre utalt a T-Systems Magyarország vezérigazgatója, amikor azt mondta, vitathatatlan, hogy a rendszer bizonyos komponenseinél már léteznek fejlettebb, korszerűbb megoldások.

Élénk párbeszéd folyik az ország legismertebb információbiztonsági szakemberei között a közösségi oldalakon a fejlesztő, az üzemeltető, a bejelentő és a média felelősségéről, valamint a várható következményekről. Abban azonban teljes az egyetértés, hogy megfelelő projekttervvel, projektmenedzsmenttel és minőségbiztosítással megelőzhető lett volna a katasztrófa.

- A sikeres informatikai rendszerek bevezetése az ügyfelek és szállítók közös felelőssége. A tervezéstől a kivitelezésen át a tesztelésig, dokumentálásig, támogatásig egyetlen lépés sem hagyható ki, tervezhető alul, mert annak előbb-utóbb óhatatlanul negatív következménye lesz. A megrendelők felelőssége, hogy ne kényszerítsék a szállítókat lehetetlen határidőkbe, aránytalan díjazásba, a szállítóké pedig az, hogy tudjanak nemet mondani, ha ilyen eset mégis előfordul - fogalmazott lapunknak Major Gábor, az IVSZ főtitkára.

Laufer Tamás, a szervezet elnöke fontosnak tartotta megjegyezni, hogy az IVSZ aggasztónak találja a szolgáltató hivatalos IT-biztonsági protokoll szerinti feljelentését követő hatósági reakciót. Közleményében egyebek mellett kitér arra is, hogy a digitalizáció ma már egyáltalán nem csupán az informatikai szektort érinti, a gazdaság minden hagyományos területén is újra kell alkotni az eddig egyébként működő folyamatokat. Szerinte a jogszabályi háttérnek és a kapcsolódó gyakorlatoknak is fejlődniük kell, és ez ma még korántsem egyenletesen valósul meg.

- Ma már a digitális az új normális, így olyan szervezetekben is zajlik a forradalom, amelyeknél az informatikai megoldásokkal kapcsolatos képességek még nem rutinszerűek - hangsúlyozta Laufer Tamás, aki a digitális megoldások jó példái között említette az elektronikus útdíj-fizetési rendszert, az online pénztárgépek bevezetését, a Mol-BKK Bubi és a BKK Futár projektjét.

Lehetett volna más is…
Sajtóinformációk szerint a BKK még 2015-ben szerződött egy alapvetően jegyautomatákkal foglalkozó német céggel az online bérletrendszer kifejlesztésére, az azonban kompetencia hiányában visszalépett. A sebtében üzembe helyezett bérlet- és jegyshop fejlesztésére a BKK nem írt ki közbeszerzést, így verseny sem volt, ezért nem lehet tudni, lett volna-e ennél kedvezőbb ajánlat, létrejöhetett volna-e ennél korszerűbb, jövőállóbb rendszer.

Mindenestre említésre érdemes, hogy az okosváros-fejlesztésben előrébb járó brit főváros közlekedési vállalata épp mostanában döntött a 2003-ban bevezetett RFID-es Oyster Card korszerűsítéséről, mert azt a mobilalkalmazásokhoz szokott utasok már nem találták elég okosnak és gyorsnak. A mobiltelefonra letölthető alkalmazásban megmaradnak a megszokott funkciók, így az egyérintéses fizetés, az egyenleg automatikus feltöltése, de kiegészül azzal, hogy a felhasználók bármikor ellenőrizni tudják, mennyit költöttek, költhetnek közlekedésre.

- A smart city koncepciója az IoT-világ koncepciójának egy olyan integratív világképe, amelyben a különböző szolgáltatók IoT-rendszereinek adatait egy városon belül integráljuk, aggregáljuk, és a különböző okosváros-appjaink ezeket hasznosítják. A tömegközlekedésben meg fognak jelenni az on-demand szolgáltatások. Egy kis okosváros miért ne szervezhetné úgy a közlekedési kapacitásait, hogy a meglévő eszközei akkor közlekedjenek, amikor szükség van rájuk? Miért ne lehetne a megállóból hívni a buszt, vagy csak akkor útba ejteni a pályaudvart, ha ott valaki leszáll? - fejtegette lapunknak Nagymajtényi Gábor, a Cyber Services Zrt. CTO-ja. - Mindehhez az informatikának csak azt kell tudni biztosítani, hogy az ügyféligény rögzüljön az egyik rendszerben, automatikusan rögzítse az adott szolgáltató okosszenzora, és ezt az adatot eljuttassa egy másik rendszerhez.

Hirdetés
Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!