BKK e-jegy, adatlopás, MD5 titkosítás elavult

Információk alapján úgy tűnik, a BKK online jegyértékesítőjében (shop.bkk.hu) regisztrált 3481 felhasználó adatai köszönnek vissza benne. Minden: teljes név, felhasználónév, e-mail cím, az igazolvány típusa és száma.

A rendszer úgy működött, hogy a felhasználónevet és a jelszót emailben visszaküldték az adott felhasználónak, ez arra utal, hogy az adatokat mindenféle titkosítás nélkül, sima szövegként tárolhatták.

http://24.hu/tech/2017/07/25/regisztralt-a-bkk-e-jegy-rendszereben-hozzaferhettek-az-adataihoz/

Az látszik, hogy a publikusan elérhető naplófájlokban volt egy bizonyos szintű védelem, egy elavult MD5 (hash) módszerrel voltak tárolva az adatok, azokat így még mindig könnyedén vissza lehetett fejteni.

Mint a szakember magyarázza: „Az egyirányú függvények úgy működnek, hogy az egyik irányban nagyon könnyű őket kiszámolni, a másik irányban pedig nehéz. Ez utóbbi arra hagyatkozik, hogy matematikailag meg lehet mondani, mekkora számítási kapacitás kell ahhoz, hogy kiszámoljuk. Ahogy nő a számítógépek képessége, úgy egy-egy hash függvény elavulttá válik. Pont ez a probléma az MD5-tel, hogy erre léteznek már algoritmusok, melyekkel vissza lehet fejteni az eredeti jelszót. Az általánosságban elmondható, hogy ha valaki MD5-öt használ, ismeri a titkosítási alapelvet, de nem a megfelelő függvényt, az aktuális szabványt használja.

BKK algoritmus

“Ha részt szeretnél venni a egy új fejlesztésben, ahol a BKK algoritmusait portoljuk több nyelvre.”

 null

BKKCrypt

An implementation of the famous BKKCrypt algorithm. Community contribution for other languages is highly appreciated.

public string BKKCrypt(string password)
{
 return password;
}

 

github: https://github.com/moszinet/BKKCrypt

BKK e-jegy súlyos biztonsági hibákkal , etikus hackernek lenni szopás

Éjjel vitték el a rendőrök a BKK-nak segítő fiút: http://24.hu/belfold/2017/07/21/gyanusitott-lett-az-etikus-hekker-akit-felnyomott-a-bkk/

Gyanúsítottként hallgatták ki a rendőrök azt a fiatalt, aki észrevett egy „rést” BKK online értékesítési rendszerében, és 50 forintért vett egy bérletet – állítása szerint jó szándékkal, hogy tesztelje, valóban működik-e a sebezhetőség.

Kibertámadások érték a BKK-t, de marad az e-jegy: http://index.hu/belfold/budapest/2017/07/18/bkk_digitalis_berlet/

Az üzemeltető T-Systems rendszerszintű támadássorozatról számolt be. Megtették a büntetőfeljelentést, a Nemzeti Nyomozó Iroda megkezdte a nyomozást.

programozó

“Kibertámadás”: átírta az árat a http kérésben, szégyen ez Magyarországon, hogy aki segíteni próbált, azt büntetik.

null

BKK Pass, Web bérlet : Bérletnek borzalmas, reflexjátéknak nagyszerű: http://index.hu/tech/godmode/2017/07/19/bkk_pass_berletnek_borzalmas_reflexjateknak_nagyszeru/

Hiba történt(TypeError) : Cannot read property ‘q’ of null

(Ez a programhiba eddig nem volt észlelhető a BBK szerint jól működő rendszerben, amitől erőteljesen az az érzése az egyszeri játékosnak vásárlónak, hogy éles teszt folyik a szemünk előtt.)

Frissítés:
Más email címről írva is töröltethető a regisztráció.
Az e-jegynél is nagyobb biztonsági hibát találtunk a BKK-nál

“Sold a shitty, buggy amateur app to the Transportation Company of Budapest. When a guy talked about the weakness of its security, they went to the Police despite saying thank you!!”

Ember nem gondolta, hogy bkv bérlet ekkora szopó lesz.

null

Kiber bűnözők:
kiber támadás

 

Megszólalt a BKK-t lebuktató fiatal

hősanya

idézetek:

Reggel fél nyolckor a hősanyák a 30-as zónában 60-al száguldozva viszik a gyerekeiket iskolába. Nem kímélve az autót, ami a fekvőrendőrön majd szétszakad, nem kímélve a járókelőket, akik életüket mentve kell félreugorjanak a száguldó hősanyák elől. A hősanyáknak minden alá kell legyen rendelve, semmi más nem számít!

A nőkbe genetikailag kódolva van, hogy olyan párt akarnak maguk mellé, aki meg teremti az anyagi és egyéb feltételeket, hogy a születendő utódot fel lehessen nevelni.

A gyerek itt gyakorlatilag egy életbiztosítás a nőnek, hogy sose kelljen dolgoznia.
Ha nem keres elég pénzt a férjük, akkor elválnak, viszik a gyereket, erre hivatkozva pedig el is vehetik a férfi fizetésének nagy részét.

Egy hősanya csak spermadonornak tekinti a gyerekei apját és bankjegykiadó automatának. Az én gyerekeim hősanyja még csak észre sem vette, hogy mennyi mindenben segítettem, és mennyi mindent megtettem a gyerekeimért. Mennyi élménytől megfosztotta őket azzal, hogy elvette apjukat.

Maradtak fotók és emlékek. Amelyek egyértelműen cáfolják a hősanya hazugságait. Remélem, a gyerekeim majd ha nagyobbak lesznek, olvassák ezt az írást, és emlékeznek majd az apjukkal átélt sok közös élményre.
idézetek: geiger.blog.hu/2017/07/20/a_hosanyakrol

anya

“Horthy kivételes államférfi”, “aki bűnt követett el” – Hintapolitika

Miért égetjük magunkat ilyen nyilatkozatokkal?

Orbán szerint Horthy kivételes államférfi voltának köszönhető, hogy nem temette Magyarországot maga alá a történelem: https://444.hu/2017/06/21/orban-szerint-horthy-kiveteles-allamferfi-voltanak-koszonheto-hogy-nem-temette-magyarorszagot-maga-ala-a-tortenelem

Magyarország bűnt követett el a második világháborúban”, hogy nem védte meg a zsidókat, hanem a nácikkal kollaborált. A kérdésre a KDNP szóvivője azt válaszolta, szerinte ebben semmifajta ellentmondás nincs.
“Horthy Miklós tevékenysége, amit egyébként a két világháború között letett az asztalra, az azt gondolom, hogy valóban az államférfiak közé emeli őt. De ettől függetlenül a magyar kormány, akinek egyébként ugye Horthy Miklós kormányzója volt (…) akkor bűnt követett el, amikor nem védte meg a zsidó állampolgárait. E kettő állítás szerintem éppen megfér egymás mellett. http://index.hu/belfold/2017/07/20/sete-sutan_magyarazza_orban_bizonyitvanyat_a_kdnp-s/

Objektíven Horthyról – a kormányzó történelmi szerepének mérlege: http://fabius.blog.hu/2017/07/19/objektiven_horthyrol_tortenelmi_szerepenek_merlege

hintapolitika