Венгерская полиция арестовала исследователя за сообщение об обнаруженной уязвимости

18-летний исследователь был задержан на этой неделе за обнаружение критической уязвимости в системе покупок электронных билетов.

Транспортное управление Будапешта (Венгрия) обратилось в полицию с жалобой на исследователя, сообщившего об обнаружении критической уязвимости в системе оплаты проездных билетов. «Хакером» в этой истории оказался 18-летний юноша, обнаруживший брешь на web-сайте управления и сообщивший об ошибке администраторам сайта.

Уязвимость заключалась в том, что пользователь мог изменить стоимость билета перед покупкой и приобрести билет за любую сумму. Для этого нужно было лишь изменить HTML форму на странице браузера перед отправкой данных на сервер.

Исследователю удалось приобрести проездной билет стоимостью в 9500 форинтов (около 30 евро) всего за 50 форинтов. После приобретения билета исследователь сообщил об этом администраторам сайта и получил сообщение, что его билет аннулирован.

Когда история получила огласку в прессе и начался разбор уязвимостей системы онлайн-билетов, разработчик web-приложения T-Systems Hungary (дочерняя компания Deutsche Telekom) совместно с транспортным управлением Будапешта обратились в полицию и исследователь, обнаруживший уязвимость, был арестован ночью.

Бреши, которые обсуждались различными исследователями безопасности, предшествующие аресту:

  • Хранения пароля в открытом виде в базе данных
  • Доступ к личным данным других пользователей системы путем изменения URL
  • Пароль администратора системы – «adminadmin»
  • Копирование чужих билетов

Полиция отпустила исследователя через несколько часов после ареста, а официальная страница транспортного управления Будапешта в Facebook получила 45 тыс. дизлайков (1 звезда) от пользователей сети.

К слову, стоимость месячной поддержки системы составляет 80 тыс. евро, а компания-разработчик T-Systems Hungary была официальным спонсором хакерских соревнований.