O Budapest Transport Authority (BKK) lançou um novo sistema de pagamentos online, mas quando um cliente relatou uma falha com que se deparou, a resposta foi prender o mesmo. A situação dá a entender que mais vale deixar as coisas como estão, mesmo que isso possa dar prejuízos à empresa.
A BKK lançou o seu novo sistema de pagamentos online que vai funcionar no Metro de Budapeste. O sistema demorou 3 meses a implementar!
O que infelizmente ninguém percebeu é que o sistema possuía falhas que podiam levar a que qualquer “avozinha que meramente saiba mexer no facebook” o pudesse hackar. É que o código de programação era bastante fraco e qualquer pessoa com um conhecimento básico de computadores podia hackar o sistema.
E isso foi o que um adolescente húngaro reparou. Ele percebeu que podia alterar o preço dos bilhetes ao usar o inspector de elementos do browser disponibilizado (que podem usar carregando no F12 quando no vosso browser), e mudando os valores dos bilhetes ali apresentados. E dado que o software não fazia verificações de controlo, os valores introduzidos pelo utilizador ficavam em efeito.
Para demonstrar que a situação funcionava, o jovem de 18 anos comprou um bilhete a um preço muito inferior (de 35 dólares passou-o para 20 cêntimos de dólar). O jovem nem sequer era de Budapeste e não ia usar o bilhete, mas fê-lo como prova de que o hack era possível.
Após se perceber do que era possível fazer-se e que tal realmente funcionava, o jovem reportou a situação à BKK, mas em vez de a empresa resolver o problema, agradecendo o reporte, a reposta foi enviar a polícia ao local onde estava o jovem. Ele foi preso uma semana depois, e a BKK ainda teve a “lata” de vir comunicar que os seus esforços tinham levado à captura de um “hacker”, vindo dizer que o seu sistema era seguro.
Mas a BKK nem imaginava o que estava para vir.
É que perante a situação os verdadeiros hackers apareceram, e o sistema foi completamente destruído, expondo todas as falhas que o mau código tinha deixado ficar.
Uma das situações reveladas foi que o administrador usava a identificação “admin”, e a password “adminadmin”. O “captcha” usado também não valia de nada uma vez que o seu valor era possível de ser lido no código fonte.
O jovem veio referir numa conferência de imprensa que ele tinha descoberto a coisa por acaso, mas que tinha de comprar o bilhete para saber se a falha era real ou não, não tendo tido sequer qualquer intenção de prejudicar ninguém. E como tal pediu que a BKK retirasse as acusações.
Quando o assunto veio a publico, a reacção não se fez esperar, com os media a revelarem que os custos de manutenção do sistema eram de 1 milhão de dólares por ano, e a página do facebook foi cheia de criticas ao serviço com mais de 47 mil avaliações de 1 estrela em 5.
A BKK veio entretanto pedir umas desculpas pouco convincentes, mas a realidade é que o caso não está ainda encerrado e o jovem não está ainda livre das acusações.