近日管理布達佩斯公共交通的營運商BKK網站被攻擊,其Facebook專頁收到超過4萬個最低的一星評級,BKK辦公室外亦有示威者聚集抗議。
事緣BKK最近在德國電訊旗下的T-Systems Hungary協助下,推出網上付款系統,希望能於現正在當地舉行的世界游泳錦標賽前使用。不過系統有大量低級錯誤和漏洞,例如沒有把密碼加密、會將密碼透過電郵傳給用戶、管理帳戶的密碼是「adminadmin」等。匈牙利媒體發現系統大量漏洞,但BKK和T-Systems堅稱系統運作正常。
約兩星期前,當地一名18歲少年發現在BKK網站買車票時,只要按下F12開啟「開發者工具」,便可以於瀏覽器內修改票價。由於伺服器方面沒有檢查,因此這名少年能夠按其修改後的價錢購買車票。布達佩斯的多種交通工具,包括地鐵、巴士、電車等,都是使用同一款車票。少年發現漏洞後,立即告訴BKK他能夠以50福林(Forint)購買原價9500福林的月票——以台幣計算,就是原價1100元大減至6元。
豈料在7月21日早上,4名探員上門拘捕這位少年。BKK的行政總裁Dabóczi Kálmán在記者會上宣布,他們向警方報案,捉到一位駭客,又向眾人表示網站現在非常安全。不少人在BKK及T-Systems的Facebook留下最低的一星評級。
評分者又貼出據稱是涉事少年的Facebook貼文英譯版本,來源應為Facebook專頁「Etikus bűnözőz」(根據Google翻譯,意思是「ethical criminal」),原文獲轉載逾三千次。內文指少年在向BKK匯報漏洞後,四天都未有收到他們的回應,卻在記者會見到BKK稱這是駭客攻擊,並指希望保持匿名,呼籲網民協助廣傳貼文。
引起眾怒後,Dabóczi在電台辯稱少年把電郵傳給一些公司不會閱讀的帳戶,然後在網上公開漏洞。他又嘗試把焦點轉移至T-Systems,表示已要求該公司的行政總裁撰寫報告,解釋事件,以及是T-Systems作出投訴,不是BKK。
在T-Systems被揭發每年收取高達100萬美元來維持系統運作及安全後,其行政總裁Kaszás Zoltán為事件道歉,承認BKK系統落後,又稱雖然對「那少年的案件」感到同情,但「在這情況下,除了舉報不知名的犯罪者外沒有其他選擇。」有見輿論反對T-Systems及BKK,Kaszás表示他希望提供跟少年合作的機會,又宣布公司會舉辦尋找漏洞的「道德駭客」(ethical hacking)計劃。
目前仍未確定少年最終會否面臨訴訟,不過事件亦帶出一個重要問題︰假如為研究網路安全而尋找漏洞,並向涉事公司報告,這種自發的「白帽」駭客應否受法例保障,以免被控告?
相關文章︰
資料來源︰
- 45,000 Facebook Users Leave One-Star Ratings After Hacker's Unjust Arrest (Bleeping Computer)
- Hungarian hacker arrested for pressing F12 (TechCrunch)
- Kid found a way to travel for free in Budapest. He filed a bug report. And was promptly arrested (The Register)
- Facebook page bombarded with 1-star reviews in protest of hacker's arrest (The Daily Dot)
- 18 year old guy arrested for reporting a shamefully stupid bug in the new Budapest e-Ticket system (Laszlo Marai)
原文連結