В Венгрии арестовали хакера, обнаружившего критическую уязвимость

07 Август 2017

В Венгрии произошел курьезный случай. Полиция арестовала 18-летнего хакера за то, что он пытался помочь крупной транспортной компании и отправил им информацию об уязвимости в системе оплаты проездных билетов. Но вместо того, чтобы приняться за устранение дыры в системе безопасности, она заявила о том, что ее сервисы надежны, а хакеру просто удалось взломать их.

Заявление в полицию поступило от транспортного управления Будапешта. Оно пожаловалось на независимого исследователя, которому удалось обнаружить критическую уязвимость в системе оплаты билетов. При этом компания предоставила всю информацию на хакера. Им оказался 18-летний парень, который даже не стремился заработать на этой уязвимости или же использовать ее ради собственного блага. Сразу же после обнаружения он обратился к администраторам сайта по электронной почте и изложил в письме всю суть проблемы.

В письме было указано, что пользователь с углубленными знаниями кода мог отредактировать исходный код страницы таким образом, что внесенные изменения позволили бы ему снизить стоимость приобретаемого проездного документа. Например, у хакера получилось купить билет, который стоит 9500 форинтов всего за 50 форинтов. Об этом он сообщил администраторам сайта. Они тут же ответили отправителю, сообщив, что его билет аннулирован.

Информация об этой ситуации вскоре просочилась в прессу. Чтобы журналисты не опорочили доброе имя транспортной компании и дочерней компании T-Systems Hungary, которая непосредственно занималась разработкой приложения для покупки билетов, они обратились в полицию с заявлением о том, что их сервис взломали. В итоге полиция ворвалась ночью в дом молодого хакера и арестовала его в связи с подозрением в организации хакерской атаки.

Во время допроса хакера выяснилось, что он даже не планировал эксплуатировать уязвимость, а просто хотел обратить внимание компании на ее наличие.

После ареста хакера компания решила организовать пресс-конференцию, на которой гордо заявила, что ее система полностью защищена и не имеет никаких уязвимостей. Но этим она только подлила масла в огонь. Новость о задержанном хакере облетела все СМИ и не обошла стороной даже социальные сети. Вдобавок ко всему некоторые издания обнародовали информацию о том, что ежегодно на поддержку безопасности системы оплаты проездных документов тратится более 80 тысяч евро.

После того, как эта информация стала доступна общественности, пользователи объявили настоящую войну транспортному управлению Будапешта. Например, некоторые данные об уязвимости начали появляться непосредственно в Twitter. Кроме этого, пользователи стали активно дизлайкать официальную страницу компании в Facebook. К слову, она уже получила более 45 000 самых низких оценок.

Кстати, юного хакера отпустили уже через несколько часов после ареста.

Как стало известно в ходе разбирательств, разные исследователи обсуждали и другие уязвимости в этой же системе. Например, удалось выяснить, что система хранит пароли в открытом виде, а если изменить URL, то и вовсе можно получить доступ к личным данным пользователей.