- Comptex 2025: Házak, tápok és kézikonzolok az Antec standján
- Computex 2025: Profi SSD-k, hűtők és más kiegészítők az Adata standján
- Computex 2025: Monitortól a tápegységig mindent megnéztük az ASRocknál
- Elkészült a zamatos hardverbifsztek
- Vezeték nélküli, láncba kapcsolható ventilátorok jöttek a Lian Litől
Új hozzászólás Aktív témák
-
luciferc
őstag
Ó de nagyon hiányzik a jogi alapismeretek oktatása kishazánkban. Ha a sokadik bírói szint nagy nehezen, akkor is kétségekkel mondja ki ezt, akkor az lehet 19-re lapot húzás, de ha már a meglehetősen agresszíven és sikeresen vádoló ügyészség ejti az ügyet, az bizony nem 19-re lap.
-
copass
veterán
19-re húzott lapott, bejött.
ettől függetlenül tartom azt hogy nem így kellett volna meggyőződnie a hibáról, főleg egy ilyen "érzékeny" cégnél ahol ugranak a bűnbakra. ha óvatosabb akkor nincs ez a cirkusz.
legalább addig se beszélnek a személyes adatok védelméről, ami inkább közérdek mint egy ócóbérlet... megy a terelés... -
dabadab
titán
Közben megérkezett az ügyészség állásfoglalása is, nahát, miket mondanak:
"Az ügyészség megállapította, hogy a célom valóban és nem cáfolhatóan a biztonsági rés feltárása és ennek közlése volt a BKK felé, amelyet két e-mail címre is megtettem, de erre választ nem kaptam. Megállapították, hogy ahhoz, hogy kétséget kizáróan meggyőződjek a rendszerhibáról, szükséges volt a vásárlás befejezése; továbbá azt is, hogy a cselekményem vezetett ezen informatikai rendszer olyan módon történő kijavításához, mely kizárja a hasonló cselekmények kivitelezését a továbbiakban; a fentiek alapján pedig azt, hogy cselekményem nem veszélyes a társadalomra, mely a bűncselekmény megállapíthatóságának törvényi előfeltétele.
Emellett megállapították, hogy a bejelentésem közérdekű bejelentésnek minősül (ami büntethetőséget kizáró ok), mivel olyan körülményre hívta fel a figyelmet, melynek orvoslása a közösség érdekét szolgálja, de mivel cselekményem a társadalomra való veszélyesség hiánya miatt alapból nem minősül bűncselekménynek, ezt a továbbiakban nem vizsgálták."
-
#43
dabadab
titán
gyurkikrisz
#42
dabadab
titán
válasz
gyurkikrisz
#42
üzenetére
"Csak nézd meg a cikkben lévő reprodukciós leírást, meg amit ő adott"
Láttam, egyrészt nyilván full amatőr a srác, másrészt meg nincs olyan bonyolult message flow, hogy bárkinek gondot okozna kitalálni, hogy mire gondolt (harmadrészt meg láttam, hogy a T-Sysnél milyen hibajelzések futnak be ügyfelektől, azokhoz képest ez még tényleg a könnyebben dekódolhatóak közé tartozik).
"Bőven várhatott volna a válaszukra,"
Ismételten felteszem a kérdést: kinek és miért lett volna ez jó?
"akinek baja lehetett volna ebből a hibából az úgyis maga a BKK volt, nem pedig a köz."
Az azért ugye megvan, hogy a BKK az nem magáncég?...
-
#42
gyurkikrisz
őstag
dabadab
#39
gyurkikrisz
őstag
Csak nézd meg a cikkben lévő reprodukciós leírást, meg amit ő adott. A cikkben lévőt egy 5 éves is le tudja utánozni, ő meg írt annyit, hogy a fizetés közben egy POST paramétert módosítva tud olcsóbban venni. Azt, hogy milyen címre küldött kérésnél, melyik paramétert kell módosítani az kicsit sem lényeges.
Az, hogy kb fél órával később meg már az Indexnek küldte az egészet, szintén távol áll a cikkben lévő esettől. Bőven várhatott volna a válaszukra, bőven várhatott volna egy hetet, mert az egyetlen fél, akinek baja lehetett volna ebből a hibából az úgyis maga a BKK volt, nem pedig a köz.
-
dabadab
titán
"-milyen alapon próbált ki bármit is?!"
Aggódó állampolgár. Közszolgáltatás, közpénz, közérdek.
"- perszeeee...!
"lehetett" ezek a tények istenem!"Elfogytak az érvek? Vagy még nem láttál olyat, hogy rohammunka után maradt itt-ott-amott némi tesztkód?
"- lássuk csak: 50 Ft egy 10.000 Bérlet, megveszi 100 ember. számold ki mennyi kárt okoz?"
Lássuk csak: miután ismert a hiba, utána egy sima SQL update-tel fél perc alatt le lehet tiltani az összes kamu bérletet illetve mivel mindenki tudja, hogy a BKK/T ismeri a hibát, nem valószínű, hogy eleve nekiállnak szórakozni vele.
"semmit nem számít hogy felhasználta-e vagy nem, abban a pillanatban hogy megvette a bérletet máris visszaélt azzal hogy a rendszerben lehet módosítani a vételi árat."
Esetleg próbáld meg capslockkal beírni ugyanezt, hátha akkor hihetőbb lesz (nem).
"győzz meg egy bíróságot:"
Lehet, hogy neked újdonság, de a törvények is ismernek olyan dolgokat, mint például a társadalomra való veszélyesség.
És én akkor itt be is fejeztem, mert láthatóan az érvek elfogytak, csak a fröcsögés maradt - az meg olyan nagyon nem érdekel.
-
copass
veterán
"Kipróbálta, hogy tényleg létezik-e a probléma. Mit nem lehet ezen érteni?"
-milyen alapon próbált ki bármit is?! volt megbízása hogy ő tesztelheti a shop-ot vagy bármilyen felhívás hogy gyeretesztelj? nem."Simán lehetett volna az is, hogy csak ott maradt valamilyen okból egy plusz paraméter, amit valójában nem használnak semmire."
- perszeeee...! "lehetett" ezek a tények istenem!"Ami szintén rendben volt. Ha az ember egy sérülékenység nyilvánosságra hozatalát fontolgatja, akkor kb. a következőket érdemes megvizsgálni:
Reagált-e az érintett? (nem)"
- adott nekik 1 órát? mi a szarról beszélünk. de van telefon is ám..."Mennyire valószínű, hogy más is megtalálja a hibát? (nagyon, hiszen egy tök amatőr gimnazista is megtalálta)"
- ez legyen a bkk gondja, ne egy mezei felhasználó döntse már el ezt."Mekkora kárt okozhat az, ha mások kihasználják a sötétben maradó hibát? (meglehetőset)"
- nagyot, mert szépen megy körbe az ismerősök között az info.
Mekkora kárt okozhat az, ha nyilvánosságra kerül a hiba? (szinte semennyit)"
- lássuk csak: 50 Ft egy 10.000 Bérlet, megveszi 100 ember. számold ki mennyi kárt okoz?semmit nem számít hogy felhasználta-e vagy nem, abban a pillanatban hogy megvette a bérletet máris visszaélt azzal hogy a rendszerben lehet módosítani a vételi árat.
győzz meg egy bíróságot:
- bíró úr én csak teszteltem hogy tényleg rossz a jegyértékesítési rendszer
- volt megbízása a tesztelésre?
- ööööászf elolvas értelmez.
ezek az érvek ! -
#39
dabadab
titán
gyurkikrisz
#38
dabadab
titán
válasz
gyurkikrisz
#38
üzenetére
"30 percet hagyott nekik, elég nagyvonalú volt."
Ez alatt konkrétan nulla reakciót kapott, még annyit se, hogy "megkaptuk, nézzük".
Egyébként meg az Indexnek se reagáltak, pedig ott kaptak még extra időt meg nem random valaki érdeklődött náluk, hanem a legnagyobb "napilap"."Jobb helyeken elküldöd nekik a hibát pontos leírással, adsz nekik egy hetet"
Kinek és miért lett volna jobb, ha ad nekik egy hetet?
"Mert egyébként a dokumentációja is fenomenális volt a hibáról, kb az 30 perc, ameddig megtalálod miről is beszélt."
Öööö... ja, ha először a w3schoolson meg kell nézned, hogy mi az a POST request.
-
#38
gyurkikrisz
őstag
dabadab
#37
gyurkikrisz
őstag
"Reagált-e az érintett? (nem)" - 30 percet hagyott nekik, elég nagyvonalú volt. Jobb helyeken elküldöd nekik a hibát pontos leírással, adsz nekik egy hetet, hogy javítsák, és ha nem csinálnak semmit, nyilvánossá teszed. Mert egyébként a dokumentációja is fenomenális volt a hibáról, kb az 30 perc, ameddig megtalálod miről is beszélt.
-
dabadab
titán
"észleli hogy át lehet írni, szól nekik és kész. de nem ő bizonyítékot gyűjtött (wtf?!)"
Kipróbálta, hogy tényleg létezik-e a probléma. Mit nem lehet ezen érteni? Simán lehetett volna az is, hogy csak ott maradt valamilyen okból egy plusz paraméter, amit valójában nem használnak semmire.
"tovább küldte még aznap a sajtónak,"
Ami szintén rendben volt. Ha az ember egy sérülékenység nyilvánosságra hozatalát fontolgatja, akkor kb. a következőket érdemes megvizsgálni:
Reagált-e az érintett? (nem)
Mennyire valószínű, hogy más is megtalálja a hibát? (nagyon, hiszen egy tök amatőr gimnazista is megtalálta)
Mekkora kárt okozhat az, ha mások kihasználják a sötétben maradó hibát? (meglehetőset)
Mekkora kárt okozhat az, ha nyilvánosságra kerül a hiba? (szinte semennyit)Ezek után elég egyértelmű lépésnek tűnik a nyilvánosságrahozatal.
Egyébként ezt is nagyjából felelősen csinálta, mert rendes sajtóhoz fordult, ahelyett, hogy mondjuk kirakta volna egy Facebook posztban."márpedig ha 50 ft-ért veszek egy 10.000 bérletet az visszaélés."
Most vagy nem beszéled nagyon jól a magyar nyelvet vagy valami más probléma van, de ez önmagában nem visszaélés - akkor lett volna az, hogy ezek után azt a bérletet használta is volna, de nem tette meg, erre se szándéka, se lehetősége nem volt.
-
copass
veterán
leírtam már többször: észleli hogy át lehet írni, szól nekik és kész. de nem ő bizonyítékot gyűjtött (wtf?!) tovább küldte még aznap a sajtónak, hogy hemánmittaláltamhősvagyokbszki...
én is találok rendszereen hibákat cégek honlapján,webshopokban.
írok levelet.volt hogy több hét eltelt mire válaszoltak, már aki válaszolt...
de soha nem éltem vissza vele, márpedig ha 50 ft-ért veszek egy 10.000 bérletet az visszaélés. -
dabadab
titán
-
vndlczndr
tag
-
#31
Ursache
senior tag
gyurkikrisz
#12
Ursache
senior tag
válasz
gyurkikrisz
#12
üzenetére
???
-
KFORboy
senior tag
Röviden-tömören;
Szánalom, hogy egy nagy cég/szakmókusok/nagyemberek/üzletemberek sem korokhuz sem státuszukhoz méltóan nem tudtak viselkedni... és egy kissrácot priuszolnak/perelnek meg a hétköznapi porrétegből mintha ebből bármi előnyük vagy kártérítésül származhatna (...amm logikusan; NEM)Bemutatja az illogikátlanság és inkompetenciát teljesértékűen, legnagyobbik Magyarhoni cégekből 2-t.
De szegény srác itta meg a levét, totál fölöslegesen, minden oldaról...Abban azért reménykedem, hogy "ezen pályán megy tovább" és később pont ezen előzménye miatt almalmazza olyan vállalat mint a Google vagy más óriás, milliókat bezsebelve, megbízott hibakeresőként !
Tény és való, valhol ez büszkeség, poén dolog, hogy Úúú megtalálta a rést a pajzson (lukas hungarocell pajzs x) ) de KURVANAGY trauma számára ez az egész díszpuccs amit a fejére zúdított az a rakat barom aki fele ennyi ésszel, intelligenciával se bír mint egy marék begyújtott szárított molylepke...
Nem éri meg ezért egy emberi élet!
Ez undorító ! -
Elnézést, hogy leírom a saját álláspontomat is - nem vagyok se egyik, se másik pártján, így talán kicsit elfogulatlanabb lehetek.
1. Konkrétan amikor regisztrálsz valahová, elindítasz egy programot, akkor minden apróbetűs vackot elolvasol (végig az EULA-t is, szóról szóra, és be is vágod kívülről)? Értelemszerűen ha valakinek nem tűnt fel, vagy csak elsiklott felette (esetleg elfelejtette) akkor nem fog rájönni, hogy egy értelemszerű (shop@) e-mail cím 'nem olvasott'. Ha valaki tényleg olyan címet akar, akkor az veszi a fáradtságot, hogy létrehozzon egy no-reply@ kezdetű címet - nem bonyolult, ellenben egyértelmű.
2. Ami kikerült belsős levél (a beindítás előtti napokban lettek a munkatársak felszólítva, hogy sürgősen keressenek hibákat), az alapján a 4 hét teszt hihetetlen. Pláne a végeredmény szempontjából. Mert ha tényleg 4 hetet adtak a tesztre, akkor az egész tesztelő bagázst ki kellene rúgni a fenébe, hiszen ez egy silány munka volt (és most nem csak a tesztelői munkára gondolok, hiszen ha ennyi és ilyen mértékű biztonsági lyuk maradhatott a programban, akkor ott a készítők illetve a tesztelők is megbuktak).
3. A srác jóindulatát ne vitassuk már el! A rosszindulat ott kezdődik, hogy kihasználja, és nem szól senkinek - szerintem! Ő nem használta ki (azzal, hogy megvette a bérletet, csak a hiba jelenlétét ellenőrizte, hiszen attól még, hogy átírja a linket, és kiír valamit az oldal, attól még lehet, hogy a szerver végső árát veszik alapul a vásárlásnál - és ez csak akkor derül ki, ha kipróbálja a vásárlást), ellenben próbált értesíteni valakit, hogy javítsanak. Hogy nem "szakszerű" volt az értesítése? És? Nem mellesleg a T még akkor sem vette a fáradtságot a reagálásra, amikor mind a gyerektől megkapták a hibajelentést, mind az Index-től a kérdést, hogy tényleg ilyen hiba van-e a rendszerben (pedig volt rá 1 órájuk a cikkig). A legelső reakció az esti sajtó-tájékoztató volt, ahol már azzal kezdték, hogy nekik a rendszerük tökéletes, és a gyereket feljelentik, mert egy gonosz hacker. Vagyis még egy e-mail-t sem küldtek se a gyerek se az Index felé, hogy 'igen, a hiba valós, kérjük még a javításig ne publikálják' (mint ahogy a Google például megtette); hanem az első lépésük az volt, hogy órákkal később küldték a gyerekre a rendőröket, miközben meg azt kommunikálták, hogy a rendszerük milyen jó, és csak gonosz hackerek képesek oda bejutni (holott....).
4. És nem, nem hős a gyerek; ezt senki nem mondta - csak azt, hogy se nem hacker, mint ahogy az egyik oldal állítja, se nem etikus hacker, ahogy a másik oldal próbálta beállítani (mert azok csak előre, szerződés alapján dolgoznak - ahogy a fenti esetben a Google-nél is tették a hibavadászok). Csak egy egyszerű fiatal, aki talált egy hibát, és megpróbálta ezt jelezni a (legjobb???) tudása alapján - aztán a média felkapta, mert úgy reagáltak a T és a BKK oldaláról az ügyre, ahogy nem kellett volna.
-
#27
DigitXT
félisten
gyurkikrisz
#12
DigitXT
félisten
válasz
gyurkikrisz
#12
üzenetére
Szerintem ez tévedés, mert elutasíthatta volna a vásárlást a BKK:
csak akkor tudhatja, hogy ennyire szar a program, amikor látta.
-
#25
gyurkikrisz
őstag
joghurt
#21
gyurkikrisz
őstag
Szerintem inkább az az érdekes, hogy 44 perc telt el aközött, hogy ő emailt küldött volna a rossz email címre (és mindegy is, hova küldte, mert jóhiszeműen küldte), és hogy az Index már levelet írt a BKK-nak. Vegyük azt, hogy az újságíró 10 perc alatt olvasta el az emailt, és fogalmazott meg egy másikat. Ebből azt kapjuk, hogy az ember 35 percet volt képes várni, mielőtt a sajtónak írt volna. Ha 1-2 napig nem kap választ, azt mondom jó, de ennek semmi értelme nem volt. Egyébként se volt olyan jellegű a hiba, hogy a BKK-n kívül mást is rosszul érinthetett.
-
-
dtracer
tag
- Konkrétan amikor regisztrálsz a rendszerbe, felhívják a figyelmedet, hogy ne írj a shop@ címre, nem tudom, miért ezen lovagolsz még mindig.
- "Alvállalkozói tanúsítvány", hát persze
- "Alapos belső tesztelés nélkül"? 4 héten át tesztelték, 450 hibát javíttattak ki.
- "És a BKK még 16.31-kor sem kapcsolta le az egész romhalmazt" Na igen, akkor vegyük a gonosz BKK helyett a jó Google esetét. Ők is így tettek, azonnal lekapcsolták a rendszerüket, amíg el nem készül a foltozás.
Vitatkozhatunk itt még off-topic, de tény, hogy a BKK-eset alatt a srác egyszerre értesítette a sajtót, és a BKK-t. Ha a Google-lel is ez történt volna, ugyanúgy feljelentették volna az uruguay-i fickót.
-
#22
dkun
csendes tag
juliabrilke
#20
dkun
csendes tag
válasz
juliabrilke
#20
üzenetére
Neked is jár a +1.
Valamint Joghurtnak is, ismét.
-
- Az én webshopomban kirúgnám az alkalmazottat, ha fél óra alatt nem válaszolna meg egy ügyféllevelet. (Kifejezetten a shop@-ról beszélve.) Vagy egy ilyen tartalmú bejövő értesítés esetén nem érne el haladéktalanul egy megfelelő vezetőt.
- Nem vennék át egy ennyire biztonságkritikus rendszert alvállalkozói tanúsítványok nélkül.
- Nem élesítenék egy ilyen rendszert egy alapos belső (nem az alvállalkozó által elvégzett vagy sem, hanem saját) tesztelés nélkül.Vegyük észre, hogy pusztán a srác „jó” címre küldött levele és a cikk megjelenése között is eltelt 80 perc. És a BKK még 16.31-kor sem kapcsolta le az egész romhalmazt, tehát a reagálásuk még ennél is sokkal lassabb volt. Számomra az is kérdéses, hogy az Index cikke nélkül egyáltalán történt volna-e bármi.
És hogy visszakanyarodjunk ontopic irányba, ez egy alapvető szemléletbeni különbség. A BKK-nál minden tökéletes és hibátlan, ergo csak ellenforradalmár szabotőr lehet az, hibát okoz. A Google-nél 1. válaszolnak a jelzésre, 2. megköszönik, 3. később, a hiba elhárítása és súlyosságának felmérése után spontán megjutalmazzák. Igen, mert a Google-t érdekli a cég imidzse, a BKK (és a Máv, és az MTVA, és a többi) meg úgyis megkapja az közpénzcsecst, ha mindenki rühelli őket.
Ettől kezdve ez cyberbiztonsági kérdés is, mert neked, mint fogyasztónak sem mindegy, hogy milyen szemléletű cégre bízod a személyes adataid. -
#20
juliabrilke
veterán
juliabrilke
veterán
Komolyan minden sebezhetőséggel kapcsolatos cikknél kitárgyaljátok mindig, hogyan történt a BKK story?
Van értelme arról vitázni, hogy mit és hova küldött el a srác és mikor?
-
dtracer
tag
Az eddigi bizonyítékok szerint:
12.49: a srác beregisztrált a BKK rendszerébe
14.38: megtörténik a manipulált tranzakció
14.49: megírja a levelét a shop@bkk.hu-ra
15.11: ír egy második levelet a bkk@bkk.hu-ra, ami a jó cím
15.33: megjön a BKK-nak az index levele
16.31: megjelenik a cikk az indexen"Lehet az egy órát türelmetlenségnek tekinteni, de egy ilyen súlyú hibánál talán nem az."
Szerintem te még soha nem dolgoztál alvállalkozókkal.
-
Legalább egy szakmai portálon le lehetne állni már ezzel a hülyeséggel. A srác több BKK-s címre is elküldte az észrevételeit, amit a BKK kamu nyilatkozatára válaszul nyilvánosságra is hozott. Tehát arra is, amit a BKK szerint használnia kellett volna.
És azután fordult az Indexhez, hogy a BKK-tól tojtak neki válaszolni. Lehet az egy órát türelmetlenségnek tekinteni, de egy ilyen súlyú hibánál talán nem az. Az pedig engem (mint fogyasztót, akinek a személyes adatait veszélyezteti a BKK/T) tökre nem érdekel, hogy az alatt az egy óra alatt az ügyeletes informatikus épp pizzát eszik, vagy PoE-zik, vagy épp egy ilyen méretű cég nem tartja szükségesnek ügyeletest alkalmazni. -
dtracer
tag
válasz
vndlczndr
#11
üzenetére
A mi "hősünk" feltörte a rendszert, írt a BKK-nak egy rossz email címre, majd egy óra múlva az index már kopgtatott a BKK-nál, hogy törhető a rendszerük, mit tudnak róla. Még egy óra múlva már kint is volt a cikk, meg sem várva a választ. Ugye megvan, hogy az itteni az így történt?
-
#12
gyurkikrisz
őstag
vndlczndr
#11
-
dkun
csendes tag
Ez aztán a korrekt felfogás és eljárás...
- nem kételkednek abban, hogy a rendszerük tartalmazhat hibákat
- ha valaki talál egyet-kettőt és bejelenti a megfelelő helyen, még jutalmat is kap, nem pedig dutyiba vágják, sőt válaszra is méltatják
- az esetet csak az után hozzák nyilvánosságra miután kijavították a sebezhetőséget, nehogy többen értesüljenek róla a sajtóból és esetleg kihasználva pl. személyes adatokat vagy más üzleti titkot tulajdonítsanak elPéldaértékű lehetne kis országunk szoftverek és informatikai rendszerek fejlesztésével foglalkozó cégei és vállalkozásai számára.
-
-
#4
gyurkikrisz
őstag
gyurkikrisz
őstag
Nekem ezt a liberális baromságot ne próbálják meg beadni
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- AKCIÓ! ASUS Z170-DELUXE Z170 chipset alaplap garanciával hibátlan működéssel
- Csere-Beszámítás! Asztali számítógép PC Játékra! R7 5800X3D / RX 7900 XTX 24GB / 64GB DDR4 / 1TB SSD
- IKEA Format lámpák eladóak (Egyben kedvezménnyel vihető!)
- Samsung Galaxy A71 128GB, Kártyafüggetlen, 1 Év Garanciával
- DDR5 8/ 16/ 32GB 4800-5600MHz SODIMM laptop RAM, több db- számla, garancia
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest