Újabb BKK-s adatbázis került illetéktelen kezekbe, és most is a 24.hu számolt be a rendszer feltöréséről. Az online újság meg nem nevezett forrásának állítása szerint a BKK Mol Bubi közbringarendszer aktív szerződéseinek egy részét – 5604 ember regisztrációs számát, telefonszámát és e-mail címét – szerezte meg egy hekker. „Tavaly óta tudok a hibáról. Kipróbáltam, hogy működik-e, de akkor adatokat nem húztam le a rendszerükből.
Akkor kezdtem el foglalkozni a BKK-val megint, amikor kibuktak az e-jegyes amatőr hibák” – nyilatkozta az ismeretlen a 24.hu-nak. A hekker véleménye szerint a Bubi esetében is kritikus minősítésű hiba volt az oldalon, ezért fért hozzá az adatbázishoz. Igaz, azt is hozzáteszi, hogy amikor az adatokat töltötte le, akkor a BKK lekapcsolta az oldalt, majd hibaüzenet jelent meg.
A cikk megjelenését követően a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) hatósági eljárást indított a BKK és a T-Systems Magyarország Zrt. által üzemeltetett online jegyértékesítési rendszerrel, valamint a Mol Bubi közbringarendszerrel összefüggő adatkezelésekkel kapcsolatban. Péterfalvi Attila közleményében azt írta: „a feltételezett jogellenes adatkezelés személyek széles körét érinti, illetve nagy érdeksérelmet idézhet elő”.
A hatóság az eljárás során a BKK-tól és a T-Systems Magyarország Zrt.-től is szerződéseket és belső szabályzatokat kér be, valamint több kérdést is feltesz az adatvédelmi incidensekkel kapcsolatban. A NAIH elnöke megjegyezte: a hatóság adatvédelmi bírságot is kiszabhat jogellenes adatkezelés miatt, amelynek összege 20 millió forintig terjedhet.
Ahogyan az online jegyrendszer, úgy a MOL Bubi informatikai rendszerét is a T-Systems Magyarország biztosítja. A cég magyar leányvállalatánál a Magyar Időknek úgy nyilatkoztak, a korábban indított vizsgálatok jelenleg is folyamatban vannak, de sem a régi, sem az új hekkertámadásokat nem kommentálták, arra hivatkozva, hogy a BKK az adatkezelő. A közlekedésszervező cégnél pedig csak a Tarlós István főpolgármester által elrendelt átfogó vizsgálatok lezárultával nyilatkozhatnak.
A közbringarendszer elleni támadást megelőzően, július 14-én több alkalommal szándékos túlterheléses és a sérülékenységre irányuló támadás érte a BKK előző nap elindított webes értékesítési rendszerét és az azt szolgáltató T-Systems Magyarország szervereit. A városvezetés tényként kezeli, hogy az ismeretlen elkövetők káoszt akartak kelteni a vizes világbajnokság idején. Az informatikai incidenssel kapcsolatban valóságos médiahadjárat indult a BKK ellen, hasonlóan ahhoz, amikor a 24.hu bejelentette, hogy a jegyrendszer több ezer felhasználójának adataihoz jutottak hozzá.
Vizsgálatokat indítottak a hatóságok, a polgári titkosszolgálatok és a BM kibervédelmi szervezete is, a T-Systems Magyarország is azonnal teljes körű vizsgálatot indított. A botrány az Országgyűlés nemzetbiztonsági bizottságának augusztusban összehívandó ülésén is téma lesz. Horváth József vezérőrnagy lapunknak korábban elmondta: egy nagyobb akció előtti próba lehetett a BKK és a T-Systems elleni támadás. A biztonságpolitikai és titkosszolgálati szakértő szerint a politikai szándék egyértelmű, a jelek pedig arra mutatnak, hogy nincs vége a kibertámadásoknak, amelyek akár terrortámadásnak is minősülhetnek.
Módosították a szerződést
A BKK és a T-Systems módosította azt a 2013-as megbízást, amelyben 5,6 milliárd forint értékben jegykiadó automaták leszállítására, üzembe helyezésére és üzemeltetésére szerződtek – írta az uniós közbeszerzési értesítőre hivatkozva a Zoom.hu. A T-Systems összesen 274 820 400 forinttal több pénzt kap az eredetileg kialkudottnál. Az automaták üzemeltetési költsége havonta és darabonként 119 139 forintról 135 401 forintra emelkedik. Változnak a telepítési helyszínek és cserélik a hibás jegypapírokat is.