18-летний исследователь был задержан на этой неделе за обнаружение критической уязвимости в системе покупок электронных билетов.
Транспортное управление Будапешта (Венгрия) обратилось в полицию с жалобой на исследователя, сообщившего об обнаружении критической уязвимости в системе оплаты проездных билетов. «Хакером» в этой истории оказался 18-летний юноша, обнаруживший брешь на web-сайте управления и сообщивший об ошибке администраторам сайта.
Уязвимость заключалась в том, что пользователь мог изменить стоимость билета перед покупкой и приобрести билет за любую сумму. Для этого нужно было лишь изменить HTML форму на странице браузера перед отправкой данных на сервер.
Исследователю удалось приобрести проездной билет стоимостью в 9500 форинтов (около 30 евро) всего за 50 форинтов. После приобретения билета исследователь сообщил об этом администраторам сайта и получил сообщение, что его билет аннулирован.
Когда история получила огласку в прессе и начался разбор уязвимостей системы онлайн-билетов, разработчик web-приложения T-Systems Hungary (дочерняя компания Deutsche Telekom) совместно с транспортным управлением Будапешта обратились в полицию и исследователь, обнаруживший уязвимость, был арестован ночью.
Бреши, которые обсуждались различными исследователями безопасности, предшествующие аресту:
Полиция отпустила исследователя через несколько часов после ареста, а официальная страница транспортного управления Будапешта в Facebook получила 45 тыс. дизлайков (1 звезда) от пользователей сети.
К слову, стоимость месячной поддержки системы составляет 80 тыс. евро, а компания-разработчик T-Systems Hungary была официальным спонсором хакерских соревнований.
Наш канал — питательная среда для вашего интеллекта