Helyreigazítás: Valótlanul állítottuk, hogy az INDEX a Budapesti Közlekedési Központ (BKK) online jegy- és bérletvásárlási rendszere ellen szervezett informatikai és kommunikációs támadást indított egy 18 éves fiúval együttműködve, a vizes vb-re időzítve. A valóság ezzel szemben az, hogy az INDEX az eseményekről olvasói jelzés alapján szerzett tudomást, ahogy az a 2017. július 14-én 16:31-kor közzétett cikkéből („Meghekkelhető a BKK rendszere, bármennyiért lehet jegyet venni”, elérhető: http://index.hu/tech/2014/07/14-meghekkelheto- a-bkk-rendszere-barmennyiert-lehet-jegyet-venni/) tényszerűen kiderül.
…
Pontos és rögzített eseménysor bizonyítja, hogy szervezett lejáratókampányt indított az ellenzéki sajtó a Budapesti Közlekedési Központ (BKK) online jegy- és bérletvásárlási rendszere ellen, amiben tevőlegesen partner volt a rendszert manipuláló, etikus hekkerként elhíresült fiatal is. Az egész akció a felvezetése volt a vizes vb-vel egy időben debütáló szolgáltatás elleni példátlan erejű informatikai támadásnak.
A Magyar Idők birtokába jutott dokumentumokból kiderül: a 18 éves fiatal a BKK online jegy- és bérletértékesítési rendszerébe annak indulásának másnapján, július 14-én, pénteken 12 óra 49 perckor regisztrált be. Pontosan 1 óra 49 perccel később, 14 óra 38-kor az ügyfél jogellenes, manipulált vásárlási tranzakciót hajtott végre, amit a szolgáltató T-Systems érzékelt.
Magyarul: a termék árának átírásával (POST requestben) 50 forintért vásárolt havibérletet. Tizenegy perc múlva, 14.49-kor a hekker e-mailt küldött a shop@bkk.hu címre, annak ellenére, hogy már a regisztráció során felhívták a figyelmét arra, hogy panasz, megjegyzés küldése kapcsán a bkk@bkk.hu a megfelelő levelezési cím. Azonban a rossz címre küldött levél a hekkelés tényének beismerésén kívül fontos önvallomást is tartalmaz: „…a MÁV-nál például teljesen ingyen vehettem jegyet, de a Szerencsejáték Zrt. oldalán is tudtam magamnak pénzt kreálni.”
A fiatalember a levélben még egy szarkasztikus gondolatsort is megengedett magának, a közbeszerzéseket korruptnak kikiáltva, de alul jelezve, hogy ezt nem gondolta komolyan. A hekker azonban rövid időn belül – 22 perc alatt – rájött, hogy rossz helyre küldte a levelét, és a kelleténél több adatot osztott meg benne. A jelentésben az is olvasható, hogy a 15.11-kor a BKK kommunikációs címére elküldött levélből már kihagyta a más állami társaságok elleni informatikai visszaélésekre való hivatkozást. A jelentés szerint az utólagos szerkesztést igazolja, hogy a tartalmi törlések ellenére az aláírás alatt ott maradt a közbeszerzésekkel kapcsolatos utalás.
Újabb 22 perc múlva az ifjú hekker tettéről az Index már szinte mindent tudott, mivel a hírportál az eset kapcsán részletes kérdéssorral kereste meg a BKK-t. Az Index a levelében az első, 14.49-kor a hibás címre – shop@bkk.hu – küldött írásra utal, nem pedig a hivatalos címre küldött megkeresésre. Azt mindenképpen meg kell majd magyaráznia a fiatalembernek, hogy miként került az Index az üggyel kapcsolatos információk birtokába ilyen hamar, gyakorlatilag a BKK felé elküldött levelekkel egyidejűleg, vagy már azt megelőzően.
Még egy óra sem telt el a kérdések továbbítása óta, az Index már címlapon hozta: Meghekkelhető a BKK rendszere, bármennyiért lehet jegyet venni. A 16.31-kor megjelent cikkben a szerző leírja, hogy megkérdezték a BKK-t, de azok még nem adtak választ. A lap mindezt annak tudatában írta le, hogy a társaságnak egy óra sem állt rendelkezésre az információk ellenőrzésére, a válaszok összeállítására és azok jóváhagyatására.
A hekkelés hatására a Futár applikáció is elérhetetlen volt
A hekker vasárnap és hétfőn is írt még levelet a BKK-nak, hogy miért jelentették fel őt, és hogy lehetne az ügyet lezárni. A valóságban azonban a BKK senki ellen nem tett jogi lépéseket, a szolgáltató T-Systems Magyarország tett büntetőfeljelentést ismeretlen tettes ellen. Az ügyben információs rendszer vagy adat megsértésének vétsége miatt indult nyomozás, amelyben e hekkert később bűncselekmény elkövetésével gyanúsították meg. A fiatalember akciója úgy tűnik, csak felvezetés volt, mivel július 14-én, pénteken példátlan erejű támadás kezdődött a BKK és a webes értékesítési rendszert szolgáltató T-Systems Magyarország szerverei ellen.
Az erről készült jelentés szerint a rendszert több alkalommal szándékos túlterheléses és a sérülékenységre irányuló támadás érte. A szolgáltatást a szervezett támadók harmincszoros terhelésnek tették ki. A másodpercenként keletkező naplóbejegyzések száma az átlagos 300-400-ról 13 ezer fölé ugrott, ami óránként közel 47 millió bejegyzést jelent. Ennek hatására a felhasználók nem tudták elérni rendszert.
A dokumentum megjegyzi, a BKK és a T-Systems rendszereit felváltva, összehangoltan terhelték. A kibertámadás kiterjedt a BKK Infóra és az okostelefonos Futár applikációra is, ezért a városvezetés tényként kezeli, hogy az ismeretlen elkövetők káoszt akartak kelteni a világbajnokság idején. A jelentés szerint ilyen méretű, szervezettségű, technológiai felkészültségű célzott informatikai támadásra évek óta nem volt példa hazánkban. A támadásokat a polgári titkosszolgálatok és a Belügyminisztérium kibervédelmi szervezete is vizsgálja.
A metróban is szabotáltak
Tarlós István szerint nem véletlenül került egy fakocka a 3-as metró egyik felújított szerelvényének ajtósínjébe, akadályozva annak záródását. A főpolgármester csütörtökön közölte, a történtek nem veszélyeztették az utasbiztonságot, ám „nem tréfadolog a fakocka, ami úgy illik az ajtó vezetősínjébe, mintha oda méretezték volna”. Szavai szerint az eset kapcsán hivatalból büntetőeljárás indult közérdekű üzem jelentős mértékű megzavarása miatt, ami öt évig terjedő szabadságvesztéssel büntethető.
