Венгерского «хакера» арестовали за нажатие F12 в браузере

Сокращённый перевод статьи TechCrunch

Будапештское транспортное ведомство (BKK на венгерском) недавно запустило систему оплаты билетов через интернет с помощью компании T-Systems, консалтингового подразделения Deutsche Telekom. Система, на создание которой ушло три месяца, должна была быть установлена к Чемпионату мира по водным видам спорта FINA 2017, который проходит в июле в Венгрии. Программное обеспечение, что странно для такого проекта, было полно багов, включая обнаружение снимков экрана администрирования с элементарным паролем:

Примерно 14 июля 18-летний неназванный юноша («Парень — никто. Он даже не является программистом», — сказал один житель Венгрии, пожелавший остаться неизвестным) написал BKK письмо по электронной почте об уязвимости, найденной им в их системе. Уязвимость позволяла любому, обладающему знаниями о современных браузерах, установить любую цену за любой билет в системе. Простым нажатием клавиши F12 «хакер» мог поменять цену билета прямо в браузере, а поскольку проверок сервера не было, приобрести билет по этой цене было реально. 18-летний «хакер» сделал данное открытие и показал BKK, что он узнал, как купить месячный билет. «Месячный проездной стоит стоит 9500 HUF (примерно 30 EUR), а он изменил цену до 50 HUF», — написал Laszlo Marai в своём посте под названием «18-летний парень арестован за репорт о позорном глупом баге в новой системе электронных билетов Будапешта» от 24 июля. Он также пишет, что, в результате общественного резонанса, десятки тысяч пользователей поставили в Facebook компаниям BKK и T-Systems одну звезду из пяти:

За недели, прошедшие между репортом BKK и арестом, венгерские СМИ изрядно повеселились вокруг этой истории. Они обнаружили бесчисленное количество багов. BKK и T-Systems заняли оборонительную позицию, заявив, что их система работает просто отлично. Последние заявили, что пофиксили все уязвимости в своём ПО.

Несколько недель прошло до 21 июля, когда полиция арестовала молодого человека в его доме после того, как BKK завершило расследование, которое, предположительно, включало чтение его email к BKK. Важно отметить, что молодой человек жил за пределами Будапешта и не мог использовать свой похищенный BKK.

«Этот мальчик был арестован и полиция вызвала его на допрос и зарегистрировала его, — заявил источник журналиста TC в Венгрии. — Они отпустили его несколько часов спустя».

BleepingComputer опубликовали пост с переводом заявления подростка в Facebook:

Мне 18 лет, в настоящий момент выпускник средней школы. Пожалуй, то, что отличается от среднего, заключается в том, что я верю, что могу помочь решить ошибку. В прошлую пятницу я обнаружил, что могу получить месячный проездной билет за 50 в новой интернет-системе электронных билетов BKK, и информировал их об этом через 2 минуты. Я не использовал этот билет, я даже не живу рядом с Будапештом, я никогда не путешествовал по маршруту BKK. Моей целью было просто просигнализировать об ошибке BKK, чтобы решить эту проблему, а не использовать (например, для продажи билетов за полцены в целях извлечения выгоды).

BKK не оказались способны мне ответить в течение 4-х дней, но на их пресс-конференции сегодня они сказали, что это была кибератака. Я нашёл дилетантский баг, который могли бы использовать множество людей, — никто серьёзно не думает, что 18-летний парень мог бы играться с серьёзной системой безопасности и хотел совершить преступление, параллельно незамедлительно сообщив об этом властям. <…>

Я бы хотел опубликовать этот пост без моего имени. Прошу Вас помочь поделиться этой информацией, в том числе, чтобы BKK пришла к понимаю, что моим намерением было просто помочь; я не причинил и не хотел причинить кому-либо вреда в любом случае. <…>

В минувшие выходные председатель BKK использовал радио в Венгрии, чтобы обвинить T-Systems в ситуации.

T-Systems в свою очередь высказались о ситуации:

Я лично переживаю за молодого человека, однако я хотел бы подчеркнуть, что в данных обстоятельствах у нас не было другого выбора, кроме как выдвинуть обвинения против неизвестного преступника (поскольку молодой человек не контактировал с нами). После предъявления обвинений мы предоставили всю информацию и имеющиеся данные о вовлечённых сторонах властям в целях разъяснения и будем так же поступать в будущем.

Будучи главой T-Systems Hungary (Венгрии), предполагая, что поведение молодого человека в рамках этики установлено, я хотел бы предложить ему возможность сотрудничества в будущем, если он открыт для подобного сотрудничества.

Этот случай показал, что в Венгрии отсутствует общепринятая практика этического хакинга, и, вероятно, отчасти из-за отсутствия таковой не был достигнут истинный консенсус, пока что. Настало время начать социальный и профессиональный диалог, адресованный «этическому хакингу» в Венгрии, и создать соответствующие нормативно-правовые рамки для этой деятельности. Следую этой цели, T-Systems представят в ближайшем будущем некоторые соответствующие инициативы («bug bounty»).

«Хакер» в свою очередь от всего сердца поблагодарил тех, кто поддержали его:

Пока полицейская процедура не закрыта (т. е. имеется в виду результат судебного слушания), я не намерен комментировать, давать интервью, выступать в прессе.

Большое всем вам спасибо за то, что постояли за меня. Это было невероятно, и я не смог бы сделать этого без поддержки людей. Сейчас я хотел бы вернуться к своей обычной жизни…

Marai назвал арест парня, сообщившего о баге, необоснованным. По его мнению, «хакер», возможно, даже не нарушил законов Венгрии. Он сообщил о «незаконном действии» («unauthorized influence») системы, которое подпадает под параграф о «мошенничестве с использованием информационных систем» («fraud committed using information systems»), но условия, упомянутые в нём, не выполняются, пишет TechCrunch.

Однако в этом же блоге появилось обновление, где Laszlo Marai говорит, что пожелавший остаться неизвестным выпускник средней школы, обнаруживший уязвимость в онлайн-системе продажи билетов на проезд в Будапеште, является подозреваемым не по той статье, по которой он раньше думал: «незаконный доступ к компьютерной системе или данным» («unauthorized access to a computer system or data»), — и уточняет, что он не юрист.

Во втором UPD Marai пишет, что CEO BKK сообщил прессе, будто они не получали первоначального репорта от парня, потому что он отправил его на неправильный email-адрес. Но это было довольно быстро опровергнуто скриншотами.