Közlekedés: Őszre saját költségén helyezi új platformra a BKK e-jegyrendszerét - nyilatkozta a T-Systems Magyarország

Szeretettel köszöntelek a Közlekedés klub közösségi oldalán!

Csatlakozz te is közösségünkhöz és máris hozzáférhetsz és hozzászólhatsz a tartalmakhoz, beszélgethetsz a többiekkel, feltölthetsz, fórumozhatsz, blogolhatsz, stb.

Ezt találod a közösségünkben:

  • Tagok - 622 fő
  • Képek - 2887 db
  • Videók - 741 db
  • Blogbejegyzések - 906 db
  • Fórumtémák - 25 db
  • Linkek - 578 db

Üdvözlettel,
M Imre
Közlekedés klub vezetője

Amennyiben már tag vagy a Networkön, lépj be itt:

Szeretettel köszöntelek a Közlekedés klub közösségi oldalán!

Csatlakozz te is közösségünkhöz és máris hozzáférhetsz és hozzászólhatsz a tartalmakhoz, beszélgethetsz a többiekkel, feltölthetsz, fórumozhatsz, blogolhatsz, stb.

Ezt találod a közösségünkben:

  • Tagok - 622 fő
  • Képek - 2887 db
  • Videók - 741 db
  • Blogbejegyzések - 906 db
  • Fórumtémák - 25 db
  • Linkek - 578 db

Üdvözlettel,
M Imre
Közlekedés klub vezetője

Amennyiben már tag vagy a Networkön, lépj be itt:

Szeretettel köszöntelek a Közlekedés klub közösségi oldalán!

Csatlakozz te is közösségünkhöz és máris hozzáférhetsz és hozzászólhatsz a tartalmakhoz, beszélgethetsz a többiekkel, feltölthetsz, fórumozhatsz, blogolhatsz, stb.

Ezt találod a közösségünkben:

  • Tagok - 622 fő
  • Képek - 2887 db
  • Videók - 741 db
  • Blogbejegyzések - 906 db
  • Fórumtémák - 25 db
  • Linkek - 578 db

Üdvözlettel,
M Imre
Közlekedés klub vezetője

Amennyiben már tag vagy a Networkön, lépj be itt:

Szeretettel köszöntelek a Közlekedés klub közösségi oldalán!

Csatlakozz te is közösségünkhöz és máris hozzáférhetsz és hozzászólhatsz a tartalmakhoz, beszélgethetsz a többiekkel, feltölthetsz, fórumozhatsz, blogolhatsz, stb.

Ezt találod a közösségünkben:

  • Tagok - 622 fő
  • Képek - 2887 db
  • Videók - 741 db
  • Blogbejegyzések - 906 db
  • Fórumtémák - 25 db
  • Linkek - 578 db

Üdvözlettel,
M Imre
Közlekedés klub vezetője

Amennyiben már tag vagy a Networkön, lépj be itt:

Kis türelmet...

Bejelentkezés

 

Add meg az e-mail címed, amellyel regisztráltál. Erre a címre megírjuk, hogy hogyan tudsz új jelszót megadni. Ha nem tudod, hogy melyik címedről regisztráltál, írj nekünk: ugyfelszolgalat@network.hu

 

A jelszavadat elküldtük a megadott email címre.

https://m.facebook.com/tsystemshungary/posts/1486416961396795
2017. július 27. | T-Systems Magyarország Zrt.


Teherbírását és a támadásokkal szembeni ellenállóképességét emelve a T-Systems Magyarország saját költségén továbbfejlesztett, magas színvonalú szolgáltatása még az ősszel elkészül.


A T-Systems Magyarország szakmai feladata az volt, hogy egy könnyen, stabilan használható online jegyrendszert építsen fel a megrendelő által megadott igények és keretek szerint. Egy rendszer fejlesztése az átadással nem fejeződik be. Az átadás után a felhasználói tapasztalatokra és visszajelzésekre építve tovább folyik.


A rendszernek voltak olyan hiányosságai, amelyek további fejlesztést kívántak. A cég fejlesztőcsapata folyamatosan dolgozik a rendszer továbbfejlesztésén.


A szolgáltatás ellen indított támadáshullám oda vezetett, hogy néhány napos használat után a BKK-nak fel kellett függesztenie a jegy és bérlet webshopjának működését. A szolgáltatás indulását követően három hullámban több típusú és intenzitású támadás érte a rendszer különböző pontjait.


Az első IT szakértelmet igénylő támadások még kisebb számú kísérletekkel a rendszer feltörését célozták. A második hullámban a támadások jellege kibővült. Ekkortól szervezett, 87 különböző IP címről érkező és még magasabb szakértelmet kívánó automatizált, 9450 kártékony kérés érkezett. A harmadik hullámban részben külföldi szerverekről érkező támadáshullám mértéke a szolgáltatás működésének leállításához vezett.


Az állítólagos adatvédelmi incidensre tekintettel a T-Systems Magyarország azonnal teljes körű vizsgálatot indított, a belső vizsgálaton felül felkérte az EY nemzetközi tanácsadó céget egy külső, független szakértői vizsgálat lefolytatására is.


„A cél az, hogy megerősítsük, ellenállóbbá és nagyobb teherbírásúvá tegyük az infrastruktúrát, amely jóval biztonságosabban, többféle fizetési módot lehetővé téve, ráadásul egy felhasználóbarát mobilalkalmazással kiegészülve fog elkészülni már az idén ősszel” – mondta a T-Systems Magyarország vezérigazgatója. Kaszás Zoltán azt is közölte: a cég saját költségén végzi a rendszer továbbfejlesztést, tesztelésére pedig a sebezhetőségek feltárására szolgáló, szabályozott technikai platformhoz tartozó, az úgynevezett „bug bounty” módszereket is bevetnek.


:::::


A nyár legnagyobb hazai informatikai botránya nem maradt személyi következmények nélkül: https://m.hwsw.hu/cikk.php?id=57782

Címkék: bkk botrány e-jegyrendszer informatika nyilatkozat t-systems

 

Kommentáld!

Ez egy válasz üzenetére.

mégsem

Hozzászólások

M Imre üzente 3 hete

Olcsón megúszta a BKK az adatvédelmi botrányt
https://24.hu/tech/2018/02/02/olcson-meguszta-a-bkk-az-adatvedelmi-botranyt/
2018. 02. 02.

Fél évvel azután, hogy a 24.hu megírta,
https://24.hu/tech/2017/07/25/regisztralt-a-bkk-e-jegy-rendszereben-hozzaferhettek-az-adataihoz/
több mint háromezer ember adatai szivárogtak ki a BKK online jegyértékesítési rendszeréből, ezzel beverve az utolsó szöget is a hibáktól hemzsegő felületbe, az adatvédelmi hivatal bizonyította: a kiszivárgott adatok valósak voltak, a közlekedési céget 10 millió forintos bírság megfizetésére kötelezték, a rendszert fejlesztő és üzemeltető T-Systems Magyarország elleni eljárást viszont megszüntették. A hatósági vizsgálat érdekes részleteket is feltárt.

Adatvédelmi incidens és súlyos jogsértés történt, mondta ki az Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a tavaly nyáron, még a vizes világbajnokság kezdetére a Budapesti Közlekedési Központ (BKK) által elindított, a T-Systems Magyarország (TSM) által fejlesztett online jegyértékesítési rendszer kapcsán.

A határozat szerint
http://naih.hu/files/NAIH-2018-356-H_hatarozat.pdf
a 24.hu birtokába került és a hivatalnak megküldött több mint háromezer felhasználó adatairól „egyértelműen megállapítható, hogy a BKK online jegyértékesítési rendszerének adatbázisából származik”.

A hatóság szerint a BKK rendszerébe annak 2017. július 24-ig történt leállításáig 6315 ember regisztrált, az általunk megküldött adatbázis 3479 felhasználó e-mail címeit tartalmazza, míg a felhasználók körülbelül 6300 személy adatait küldték el a NAIH-nak. A hatóságnál hivatalosan panaszt tévő felhasználók közül – akik úgy nyilatkoztak, regisztráltak a rendszerbe – tizenhárom ember adatait azonosította be a NAIH a 24.hu-s adatbázisban, vagyis az ő adataik biztosan kiszivárogtak. De mivel a hatóság csak egy százas mintát vizsgált, ennél jóval többen is lehetnek.

Péterfalvi Attila, NAIH elnök határozatában kiemeli: a BKK súlyos jogsértés követett el, amikor hibásan határozta meg az adatkezelés jogalapját, a felhasználóknak készült tájékoztatóban kirívó hibák szerepeltek, abból hiányzott az adatkezelő, azaz a TSM megnevezése is, az adatkezelés mikéntje nem volt megtervezve. Ezt igazolja, hogy egy évente több millió utast kiszolgáló fővárosi közlekedési vállalatnak egyetlen konkrét válasza volt az adatvédelmi incidensre: azonnal leállítani az online rendszert, hogy a további atrocitásokat elkerülje.

-- Különösen amiatt tekinthető súlyosnak a Kötelezett (BKK) jogsértése, mivel az online jegyértékesítési rendszer a tervek szerint több tízezer, sőt a későbbiekben több százezer érintett adatainak a kezelésére irányult volna.

– olvasható a határozatban. A jogsértés „azt mutatja, hogy a BKK alacsony szinten tudja alkalmazni a tevékenységére vonatkozó jogszabályi és adatvédelmi követelményeket”.

Az is érdekes, hogy a BKK másfél hónappal az incidens után tudta csak megállapítani, hogy adatszivárgás történt, amikor tavaly szeptemberben bepillanthattak a 24.hu által megküldött dokumentumokba a hatóságnál. Az eset körülményeit a tavaly nyáron megindított belső vizsgálat a mai napig nem tárta fel, pedig „viszonylag rövid időszakra eső adatkezelés megvizsgálására lett volna szükség.”

Emellett az érintetteket sem tájékoztatták az adatszivárgás lehetséges következményiről, így nekik sérült az információs önrendelkezési joguk.

Az adatvédelmi hatóság a rendelkezésre álló információk alapján megállapította a BKK mulasztásait, így azt már nem vizsgálták, hogy mi okozta az adatszivárgás bekövetkeztét. Ugyanakkor felszólították a közlekedési céget, hogy

-- Tegye meg a szükséges intézkedéseket annak érdekében, hogy az adatvédelmi incidens körülményeit, valószínűsíthető kockázatait feltárja, és ezekről a 2017. július 24. előtti időszakban regisztrált felhasználókat tájékoztassa, illetve a jövőbeli adatkezelések során megfelelően gondoskodjon az adatbiztonsági követelmények teljesítéséről.

A maximális kiszabható bírság fele, tízmillió forint megfizetésére kötelezte a hatóság a BKK-t, a cég ugyanakkor olcsón megúszta, tekintve, hogy a 2016-os naptári évben több mint 89 milliárd forintos árbevételt ért el, amire egyébként a NAIH is tekintettel volt.

Tarlós István főpolgármester a Magyar Nemzetnek úgy nyilatkozott: minden fővárosi cégnek egyszemélyi felelőse van, a BKK esetében Dabóczi Kálmán. A BKK vezérigazgatója a lappal közölte: ahogy a Közbeszerzési Döntőbizottság tavalyi, 150 millió forintos büntetést
https://24.hu/belfold/2017/12/21/150-millios-buntetest-szabtak-ki-a-bkk-e-jegyrendszere-miatt/
meghatározó döntését, úgy a NAIH határozatának több pontját is vitatják, ezért várhatóan bírósághoz fordulnak.


Érdekes részletek

#1

A BKK 2017. július 27-én belső vizsgálatot indított annak feltárására, hogy mi okozta az adatvédelmi incidenst, ez azonban jelenleg is folyamatban van, annak eredményéről a közlekedési cég a hatóságnak sem nyilatkozott.


#2

A BKK ugyan szeptemberig nem kezelte adatvédelmi incidensnek a történteket, azt viszont igen, hogy a felhasználók megfelelő azonosítás nélkül képesek voltak adatok törlését kezdeményezni,
https://24.hu/tech/2017/07/21/pofonegyszeru-biztonsagi-szakadek-is-van-a-bkk-nal/
azaz például a regisztrációnál megadott e-mail fióktól teljesen eltérő címről is kérhettük, hogy töröljék a fiókunkat, és az megtörtént.

Mint a határozatban olvasható: “a törlés elvégzését megelőzően nem került megfelelően azonosításra az érintett.”

Ennek elhárítása érdekében a BKK felfüggesztette a személyes adatok törlésében részt vevő munkavállalók hozzáférését az online jegyértékesítési felület háttérrendszeréhez.


#3

A TSM szállította és saját maga üzemeltette a rendszert, ahhoz a BKK-nak nem volt hozzáférése (adatbázis, naplófájl), így annak ellenére, hogy adatkezelő volt, detektálni vagy kivizsgálni sem tudott volna egy esetlegesen bekövetkező eseményt.

-- Az adatbázisokhoz csak a TSM által kijelölt üzemeltető kollégák fértek hozzá”

– írta a BKK a hatóságnak. A TSM pedig közölte: az adatbázis és az alkalmazás szerverét valóban ők üzemeltették, de a webszervereket, a routereket, a hálózati infrastruktúrát már a BKK.


#4

A TSM által felkért külső cég, az Ernst&Young vizsgálata során sérülékenységeket tárt fel a rendszerben, amelyek már az üzembe helyezést megelőzően is fennálltak. Ugyanakkor a TSM úgy nyilatkozott:

-- a jelentésben rögzített sérülékenységek döntő többsége elvileg sem teszi lehetővé az adatok kiszivárgását. Az adatvédelmi szempontból releváns sérülékenységekkel kapcsolatban az E&Y tényleges adatszivárgásra utaló nyomot nem tudott kimutatni.

Ezzel kapcsolatban megküldtük kérdéseinket a TSM-nek, így például érdeklődtünk a döntő többségen felüli sérülékenységek okozhattak volna-e adatszivárgást? Illetve, ha nem találtak adatszivárgásra utaló nyomot, akkor hogyan került az adatbázis illetéktelen kezekbe?


#5

A határozat szerint „ezeket a hiányosságokat a rendszer átvételekor, vagyis az adatkezelés megkezdése előtt kellett volna feltárnia a BKK-nak, illetve a TSM-nek.” Hozzátették: a tényállás feltárása során a BKK nem igazolta, hogy ilyen ellenőrzést bármilyen módon elvégzett volna.


#6

A TSM tekintetében ugyanakkor arra jutottak, hogy megtette a megfelelő intézkedéseket az incidens körülményeinek feltárására, „melyek alapján nem állapítható meg, hogy a rendszer üzemeltetése körében felmerülő hiányosság okozta volna az adatvédelmi incidens bekövetkezését.” Így ellenük az eljárást megszüntették.

Hogy érthető legyen a történet: kicsit olyan ez, mint amikor az ember szerelőnél hagyja az autót, majd amikor elvinné azt, a szerelő közli, hogy a fék még nem működik megfelelően. Emberünk ennek ellenére elviszi az autót családostul, mindenestül, majd balesetet szenved. Az okozott károkért nem a szerelő (TSM) felelős, hanem a sofőr (BKK), aki a döntést meghozta, hogy a tudottan hibás autóval mégis elindul.


Időrend

-- 2017. július 21. 12:00 és júius 23. 16:00 Túlterheléses támadás (DDoS) érte az online jegyértékesítési rendszert.
-- 2017. július 23. A BKK leállította a rendszert, többé nem lehetett regisztrálni, ez volt az egyetlen esemény, amelyet az adatvédelmi incidens elhárítása érdekében tett a NAIH szerint.
-- 2017. július 24. A 24.hu megküldi a birtokába került adatbázist a NAIH-nak.
-- 2017. július 25. Megjelenik a tényfeltáró cikk.
https://24.hu/tech/2017/07/25/regisztralt-a-bkk-e-jegy-rendszereben-hozzaferhettek-az-adataihoz/
-- 2017. július 27. A BKK belső vizsgálatot indít, ez még jelenleg is folyamatban van.
-- 2017. július 31. A NAIH adatvédelmi hatósági eljárást indít.
https://24.hu/belfold/2017/08/02/bkk-botrany-eljaras-indul-az-e-jegy-es-bubi-felhasznalok-adatai-miatt/
-- 2017. augusztus 2. A BKK közbringa rendszere is kompromittálódhatott,
https://24.hu/tech/2017/08/02/regisztralt-a-bkk-kozbringarendszereben-hozzaferhettek-az-adataihoz/
a 24.hu újabb adatbázist továbbított, az ezzel kapcsolatos hatósági eljárás még tart.
-- 2017. augusztus 2. A NAIH nyilatkozatra hívta fel a BKK-t és a TSM-t, hogy felderítse, ki milyen minőségben érintett az ügyben, és mi történt pontosan. A 2013. szeptember 4-én kötött fő projektszerződés, illetve annak 2017. július 13-án kelt 3. számú módosítása alapján: a BKK adatkezelőnek, a TSM adatfeldolgozónak számít.
-- 2017. augusztus 17. A BKK nem azonosítja adatvédelmi incidensnek a történteket.
-- 2017. augusztus 18. és 21. A TSM bizonyítja, hogy adatfeldolgozó az ügyben.
-- 2017. szeptember 6. A TSM betekint a NAIH dokumentumaiba, így a 24.hu által megküldött adatbázisba.
-- 2017. szeptember 12. A BKK betekint a NAIH dokumentumaiba, így a 24.hu által megküldött adatbázisba.
-- 2017. szeptember 15. A BKK úgy nyilatkozik, mégis adatvédelmi incidens történt.
-- 2017. szeptember 21. A TSM megküldte a független tanácsadó cég vizsgálati jelentését, de iratbetekintési korlátozást kért rá. Abban rögzítésre kerültek a sérülékenységek, de adatszivárgásra utaló nyomot, bizonyítékot nem találtak.
-- 2017. december 11. A BKK a tűzfal-naplóállományt megküldi a hatóságnak, közlik: részletesebb vizsgálatot csak TSM tud lefolytatni.
-- 2017. január 22. A NAIH megállapítja a jogellenes adatkezelést, és bírság megfizetésére kötelezi a BKK-t.

Válasz

Ez történt a közösségben:

M Imre írta 6 órája a(z) Hírek röviden fórumtémában:

Magyar Vasúttörténeti Park / Hungarian Railway Museum ...

M Imre írta 6 órája a(z) Hírek röviden fórumtémában:

2018. március 4-étől (vasárnap) – építési munkálatok miatt –...

M Imre írta 6 órája a(z) Hírek röviden fórumtémában:

Villamos-, hidrogén- és gázhajtású járműveket lehetne...

M Imre írta 6 órája a(z) Hírek röviden fórumtémában:

Az aluljárórendszer ma sem semmi, a korabeli...

M Imre új eseményt adott az eseménynaptárhoz: Februári HajóHíd Est: 50 éves a BKV: 18:00–20:00, Kossuth Múzeumhajó És Vén Hajó Étterem, Vigadó téri hajóállomás 2 ponton, Budapest 2018.02.23. 18:00

M Imre írta 6 órája a(z) Hírek röviden fórumtémában:

Az újra és újra meghaló, majd hamvaiból feltámadó főnix ...

M Imre írta 6 órája a(z) Hírek röviden fórumtémában:

Van, ahol már 30-35 cm hó hullott Válogatás észlelőink ...

M Imre írta 7 órája a(z) Hírek röviden fórumtémában:

Csak jönnek és jönnek a Credók http://iho.hu/hir/csak-...

M Imre írta 7 órája a(z) Hírek röviden fórumtémában:

Felgyorsítja az Európai Bizottság az ingyenes InterRail-bérlet ...

Szólj hozzá te is!

Impresszum
Network.hu Kft.

E-mail: ugyfelszolgalat@network.hu