• Compartilhar em:

A BKK, empresa de transporte público de Budapeste, capital da Hungria, teve seu site hackeado no mês passado. Uma notícia como essas soaria até normal pois sites de diversos órgãos no mundo todo são hackeados diariamente. Mas não da forma como aconteceu com esta empresa em particular.

Para começar o site em si já possui uma quantidade enorme de erros de segurança: ao acessar shop.bkk.hu se deparava com uma mensagem de erro porque não era redirecionado para o endereço HTTPS; o sistema armazenava cada senha em texto puro, enviando-a para o usuário caso ele esquecesse; e a senha de administrador era “adminadmin”. 

Aí um rapaz de 18 anos descobriu que poderia alterar o valor das passagens vendidas no site de uma maneira simples e rápida. Teclando F12 e tendo acesso ao código-fonte nas ferramentas de desenvolvedor, podia-se simplesmente digitar qualquer valor para as passagens. Ele mostrou que era possível comprar uma passagem mensal de 9459 forints (cerca de R$ 115) por apenas 50 forints (R$ 0,60). Como não havia um sistema de validação no servidor, a BKK aceitava a operação e emitia o bilhete. Ao descobrir a falha, ele enviou um email para a BkK, que retornou dizendo que a passagem fora invalidada. Em seguida a empresa contatou a polícia, que o prendeu no meio da madrugada dias depois da resposta no email.

Solto horas depois, o cidadão, que ainda vai entrar na faculdade, diz que não quer falar sobre o assunto e que apenas quer ser deixado em paz. Já a BKK alega que todo site tem suas falhas e que isso é normal.

Conte-nos o que achou desta publicação