Arrestatie ethical hacker leidt tot straatprotest
Een student in Hongarije is gearresteerd nadat hij een bug vond in de website van Budapests openbaar vervoer, en die naar eigen zeggen netjes rapporteerde. Het voorval lokt veel protest uit.
Het rapporteren van stevige securityfouten blijft riskant, zelfs nu de wereld wat bekender raakt met ethical hacking en bug bounties allerhande. Dat moet blijken uit het verhaal van een student in Bulgarije. De 18-jarige vond een bug in het splinternieuwe e-ticketingsysteem van BKK, waardoor hij de ticketprijs van een kaartje kon veranderen, en het ticket zo kon aankopen voor een andere prijs. Hij deed dat redelijk eenvoudig, door zijn browser op ‘developer mode’ te zetten (dus, euh, op f12 drukken), en de broncode van de site te veranderen. Hij rapporteerde dat vervolgens aan BKK, compleet met demo.
Als reactie daarop werd hij gearresteerd, en Kálmán Dabóczi, CEO van BKK hield een persconferentie waarin hij met enige trots meldde dat zijn team een hacker had gevonden, en een officiële klacht tegen hem had ingediend. Hij vertelde het publiek dat de website ondertussen terug veilig is. U herkent dit misschien als een foute manier om op een potentiële veiligheidscrisis te reageren.
Zijn versie van de feiten werd vrijwel meteen tegengesproken door de jongeman zelf, die in een Facebook-post aangeeft dat hij BKK enkele minuten na zijn ontdekking informeerde over het securityprobleem. “Ik heb het ticket (uit de demo, nvdr) niet gebruikt, ik woon niet eens in de buurt van Boedapest. Ik heb nog nooit op een BKK-route gereden. Mijn doel was net om de BKK te laten weten dat ze een er een fout was, zodat ze het konden repareren.”
Hij gaat verder: “De BKK heeft mij vier dagen lang niet kunnen antwoorden, maar in hun persconferentie hebben ze het over een cyberaanval die was gerapporteerd. Ik vond een amateuristische bug die door veel mensen kon worden uitgebuit; Denk je nu echt dat een 18-jarige een serieus securitysysteem zou omzeilen om misdaden te plegen, en dat dan meteen aan de autoriteiten te vertellen.”
Die post is snel viraal gegaan, en het is vrij duidelijk welke kant de publieke opinie gekozen heeft. De Facebook pagina van de Budapesti Közlekedési Központ (BKK), het orgaan dat openbaar vervoer in Boedapest beheert, wordt sinds enkele dagen overspoeld door reacties, en de website van de organisatie is platgelegd door online aanvallen. De woede groeide alleen maar toen bleek dat een lokaal bedrijf, T-Systems, een miljoen euro opstrijkt per jaar om de systemen te onderhouden. Die laatsten meldden in een nieuwe mededeling dat de bug ondertussen gefixt is, maar nu het halve internet de website uitpluist, worden er nog heel wat andere fouten gevonden.
Begin deze week kwamen protestanten op straat voor de kantoren van de BKK in Budapest. Ook de media in Hongarije zijn ondertussen op de kar gesprongen, met interviews en profielen waarin de jongeman als een alledaagse held wordt onthaald.
Fout opgemerkt of meer nieuws? Meld het hier