Több mint egy hete másról sem szól az ellenzék szerepét átvevő, kormánybuktatásra szerveződő propagandasajtó, mint a „BKK-botrányról”. Az „ügy” mellékszálaként már egy tüntetést is sikerült összehozniuk, amelyen pár száz megtévesztett, félrevezetett, jó szándékú ember, illetve néhány, a tudatos és aljas hazugságokkal tisztában lévő, gazember provokátor vett részt. Az „ügy” legérdekesebb része, hogy a kormánybuktatásra szerveződő, politikai szerepet vállaló propagandasajtó egy része minden valószínűség szerint súlyos bűncselekmények részese – vagy társtettesként, vagy felbujtóként –, remélhetőleg a rendőrségi nyomozás erre a szálra is ki fog terjedni, és ezt is fel fogja deríteni.
Nézzük a „botrány” fő pontjait, amelyeket a szerepéből teljesen kiesett, önmagából kivetkőzött propagandasajtó ismételget:
1. Egy jó szándékú, 18 éves hekker feltöri a BKK új rendszerét, és 50 forintért bérletet vásárol. A hibáról azonnal értesíti a céget. 2. A BKK – ahelyett hogy megköszönné a segítséget – feljelentést tesz az ártatlan, jó szándékú hekker ellen. 3. A rendőrség éjszaka rátör a gyerekre. 4. A BKK közbeszerzési eljárás nélkül választotta ki az új rendszert elkészítő céget, és hatalmas összegért rendelte meg a programot. 5. A program nem működik. 6. A BKK anélkül állította rendszerbe az új programot, hogy tesztelte volna. 7. A BKK rendszeréből több mint 3000 felhasználó adatai szivárogtak ki, több mint 3000 felhasználó adatait lopták el, és ehhez semmi másra nem volt szükség, mint egy böngésző használatára.
Ezek volnának tehát a botrány főbb pontjai, ezeket sulykolja az ellenzéki politika helyére bejelentkező propagandasajtó, és az ő nyomukban ezt szajkózza mind fővárosi, mind országos szinten a balliberális ellenzék, és természetesen a ma már szintúgy hozzájuk tartozó Jobbik is. Egymásra licitálva mondanak egyre vadabbakat és egyre nagyobb hazugságokat.
És akkor most nézzük meg, mi is az igazság!
Egy 18 éves fiatalember július 14-én, pénteken 12 óra 49 perckor beregisztrál a BKK online értékesítési rendszerébe. 14 óra 38 perckor ugyanez az ügyfél jogellenes, manipulált vásárlási tranzakciót hajt végre. 11 perc múlva ugyanez az ügyfél e-mailt ír a BKK-nak, méghozzá egy kommunikációra nem használt és nem használható e-mail címre, a shop@bkk.hu-ra. Utóbb a 444 és a többi propagandasajtó fölényeskedve és cinikusan azt írja, a BKK „hazudik”, amikor azt állítja, a hekker egy kommunikációra nem használatos címre küldte a levelet, sőt a 18 éves, „jó szándékú” fiatalember ezt mindjárt cáfolta is. Az igazság ezzel szemben az, hogy a birtokomban lévő dokumentumokból egyértelműen kiderül, a hekker erre a címre küldte a levelét!
A BKK már a regisztráció után felhívja az ügyfél figyelmét, hogy az általa használt e-mail cím nem használható kommunikációra, ezért használja a bkk@bkk.hu címet. Az ügyfél erre nem reagál.
A legérdekesebb azonban, hogy mit is ír a „jó szándékú”, 18 éves hekker a BKK-nak! Szó szerint ezt írja:
„Biztonsági rést találtam a weboldalukon, a kosárba rakáskor a termék árának átírásával (POST requestben) annyiért veszek bérletet, amennyiért én akarok. (50 forintért vettem havibérletet.) Nem használtam fel a bérletet, célom világos és jó, nem követtem el bűncselekményt, mivel egyből jelentettem. Meglepő viszont, hogy én 18 éves vagyok, de már 13 évesen sem követtem el ilyen hibákat. Ha esetleg a jövőben egy közbeszerzésnél csak 90%-ot kellene visszaosztani, szívesen jelentkeznék. Már csak azért, mert a MÁV-nál például teljesen ingyen vehettem jegyet, de a Szerencsejáték Zrt. oldalán is tudtam magamnak pénzt kreálni. Röviden kifejezve: a közbeszerzések engem is érdekelnek, magasabb minőségben készítem el a feladatot, ugyanannyit osztok vissza.
Üdvözlettel: X. Y.”
Ez tehát az első, és kommunikációra nem használt címre küldött levél. A 18 éves fiatalember „jó szándékát” erősen megkérdőjelezi, hogy levelében kijelentő módban és befejezett múlt időben közli, a MÁV honlapját meghekkelve ingyen vásárolt magának jegyet, továbbá a Szerencsejáték Zrt. oldalán „pénzt generált magának”, vagyis lopott. A közbeszerzésekre vonatkozó „felajánlását” később ezzel a mondattal teszi zárójelbe: „Az általam közbeszerzésről leírtak szarkasztikus kritikát tartalmaznak, komolyan nem vehetők, felelősségre nem vagyok vonható értük.”
Rendben van, de mi a helyzet a MÁV és a Szerencsejáték Zrt. meglopásával? Ezek bűncselekmények, amelyeket a „jó szándékú” hekker saját maga vall be a BKK-nak írott első levelében!
Az első levél megírását követően 22 perccel, vagyis 15 óra 11 perckor megérkezik a második levél. Ez a levél a korábban a technikai címre küldött levél rövidített, szerkesztett változata. Ebből a leveléből kihagyta a más állami társaságok elleni informatikai visszaélésekre való hivatkozást, továbbá a közbeszerzésekből való részesedésre irányuló javaslatát. Az utólagos szerkesztést az is igazolja, hogy az aláírása alatt viszont bennmaradt a közbeszerzésekre való utalás, bár a levél szövegében nem is tesz erről említést. A levél a BKK leányvállalata, a Budapesti Közlekedési Ügyfélkapcsolatok Zrt. (BKÜ) által üzemeltetett ügyfélszolgálatára érkezik.
És most következik az első igazán érdekes fordulat!
A „jó szándékú” hekker második levelének elküldését követően, egészen pontosan 22 (azaz huszonkét!) perc múlva a BKK levelet kap a Simicska Lajos tulajdonában lévő, és természetesen „független” Index „hírportáltól”! Tehát 22 percre volt szükség, hogy az Index „felfedezze” az „ügyet”, a „botrányt”, és nekiálljon kirobbantani a skandalumot. Az Index – érthetetlen módon – az első, hibás címre (shop@bkk.hu) 14:49-kor küldött levélre utal, nem a BKK hivatalos címére (bkk@bkk.hu) 15:11-kor küldött levelére. Magyarázatot igényel az ügyfél részéről, hogy miként került az Index ezen információk birtokába ilyen hamar, gyakorlatilag a BKK felé elküldött levelekkel egyidejűleg, esetleg azt megelőzően.
Fontos, hogy megismerjük az Index által küldött levelet is, íme:
„Tisztelt BKK, egy IT-szakértő olvasónk jelezte, hogy a BKK shop bizonyos paraméterének átírásával átverhető a rendszer, és így akár 50 forintért is lehet bérletet venni. A problémát a shop@bkk.hu címen is jelezte az illető, érdekelne, hogy mit tudnak erről az esetről? (abban a levelében csatolta a konkrét tranzakció vásárlási visszajelzését, amelyben 50 forint kifizetett érték áll). Ténylegesen 50 forintot fizetett az illető 9500 helyett? Fennáll az említett hiba? Hogyan lépnek fel ez ellen? Mikortól lesz biztonságos a rendszer? Javítják-e a jelszókezelési módszert, amelyre a cikkemben is rámutattam? Módosítják-e az online fórumokon, Twitteren kritizált, túl könnyen kijátszható Captcha megoldást? Biztonsági szakértőket is megkeresünk, akik alighanem tudják reprodukálni ezt az állítólagos hibát, hogy megbizonyosodjunk róla, valóban meghekkelhető-e a webshop.
Üdvözlettel: Tóth Balázs, Index.hu”
Ez tehát az Index „hírportál” „újságírójának” levele.
A levél kapcsán több kérdés is felmerül.
Mivel a „jó szándékú” hekker második levelének elküldése után 22 perccel az Index már komplett kérdéssort küldött a BKK-nak, teljesen nyilvánvaló, hogy a „jó szándékú” hekker és az Index összejátszott ebben az ügyben. Igen ám, de hogyan? Vajon a hekker a BKK-nak elküldött levelet egy időben elküldte az Indexnek is, vagy már előzetesen is egyeztettek, hogy ne mondjam, közösen találták ki az egész akciót? Az Index „újságírója” a shop@bkk.hu, kommunikációra nem használt, tehát hibás e-mail címre elküldött első levélre hivatkozik kérdéseinek feltevésekor, vagyis ezt a levelet ismerte. Ebben a levélben viszont még szerepel az, amit a „jó szándékú” hekker a második leveléből már kiszerkesztett, vagyis a más állami vállalatok meglopásáról szóló rész.
Ennek ismeretében hogyan beszélhet az Index folyamatosan „jó szándékú”, 18 éves fiatalemberről, akit amúgy ebben a levelében egyenesen IT-szakértőnek becézget?
Első kérdésünkre, vagyis hogy az Index „csak” a BKK-val egy időben megkapta a hekker levelét, vagy előzetesen összejátszott vele, hamar megkapjuk a választ. Ugyanis a történet folytatása ezt teljesen nyilvánvalóvá teszi. 58 perc elteltével ugyanis, tehát 16 óra 31 perckor az Index oldalán máris megjelenik az ügyről szóló első cikk, Meghekkelhető a BKK rendszere, bármennyiért lehet jegyet venni címmel.
Tehát az Index 15 óra 33 perckor elküld a BKK-nak egy 7 (azaz hét) kérdésből álló kérdéssort, majd 16 óra 31 perckor jelentkezik egy kész cikkel, amelyben azt írja, hogy „Megkérdeztük a BKK-t, hogy mikor és miként tervezik betömni a biztonsági réseket, de még nem kaptunk tőlük válaszokat.”
A BKK-nak egy óra sem állt rendelkezésre az Index által közölt információk ellenőrzésére, a válaszhoz szükséges információk összeállítására és a válasz belső szabályok szerinti jóváhagyatására. Vagyis az Index „hírportált” a BKK válasza a legkevésbé sem érdekelte, ellenben a választ be sem várva, 58 perc elteltével közzétett egy 4000 karakteres cikket, részletesen kifejtve, mi is történt az „IT-szakértő” jegyvásárlása közben, továbbá közli „független biztonsági szakértők” „szakvéleményét”, nyilván azokét, akikről 58 perccel a cikk megjelenése előtt még így ír a BKK-nak:
„Biztonsági szakértőket is megkeresünk, akik alighanem tudják reprodukálni ezt az állítólagos hibát, hogy megbizonyosodjunk róla, valóban meghekkelhető-e a webshop.”
Ami tehát eddig nyilvánvaló: A „botrányt” kirobbantó Index egy saját bevallása szerint állami vállalatokat meglopó, bűnöző hekkerrel összejátszva előre megírt cikk alapján a BKK durva lejáratásába kezd, miközben a bűnöző hekkerből „jó szándékú” fiatalembert fabrikál, és esélyt sem ad arra, hogy az érintettek legalább megpróbáljanak válaszolni a „kérdésekre”.
Persze. Hiszen nincsenek kérdések. Koncepció van. „Gondolat helyett gondolatmenet.” A kibertér és a nyilvánosság bűnözői által kreált botrány van. És ez még csak az ügy eleje!
(Folytatjuk)