A BKK vállalja a felelősséget

A BKK eltökélt célja, hogy közszolgáltatóként nyitott, transzparens módon működjön. Éppen ezért ismételten köszöni, hogy a Közlekedő Tömeg Egyesület
https://www.kozlekedotomeg.hu/
https://www.facebook.com/kozlekedotomeg/
felhívta a figyelmet a 100E járattal és a hajókkal kapcsolatos hibára. Egyúttal elnézést kér azoktól az utasoktól, akiknek ez a mulasztás felesleges kiadást okozott. A BKK természetesen vállalja a felelősséget.

Az eset kivizsgálása után a hibás döntésekben résztvevő munkatársakat figyelmeztetésben részesítették, illetve a mulasztás miatt munkaviszony megszüntetésére is sor került. Emellett a társaság lépéseket tesz azért, hogy az intézményi kultúrában jobban előtérbe kerüljön az ügyfélközpontúság, ennek köszönhetően a jövőben ne fordulhasson elő a mostanihoz hasonló eset.

A Budapesti Közlekedési Központ úgy döntött, hogy a fel nem használt vonaljegyek eladásából származó 14 millió forint bevételt jótékony célra fordítja az év végéig. Nem titkoltan a BKK szeretne ezekkel a lépésekkel példaként szolgálni a közpénzekkel gazdálkodó intézmények számára.

Egy gomb kiiktatása 1,4 millió forint

A Közlekedő Tömeg Egyesület közösségi oldalán megjelent bejegyzés után a Budapesti Közlekedési Központ azonnal felvette a kapcsolatot az automatákat üzemeltető T-Systemsszel, ugyanis a BKK a jelenleg működő jegyértékesítő automaták 2013-ban megkötött szerződése szerint nem tud közvetlenül, saját jogosultsággal termékeket módosítani a készülékekben. Azaz, nem rendelkezik megfelelő szintű, közvetlen hozzáféréssel az automatákat irányító rendszerhez. A szolgáltató a hét évvel ezelőtt kötött egyezmény alapján 1,4 millió forintos árajánlatot adott a gombok kiiktatására, így a Repülőtéri és a hajó jegy vásárlására szolgáló funkciók deaktiválásáért 2,8 millió forintot fizet a BKK. A gombok visszaállítása várhatóan hasonló költséget emészthet fel.

https://bkk.hu/2020/10/bkk-modositotta-jegyautomatak-szoftveret-mar-nem-vasarolhato-repuloteri-jaratra-es-hajokra-ervenyes-termek/


Egy gomb kiiktatása:
http://autovezetes.network.hu/kepek/z__kozlemenyek_sajtoanyagok/a_repteri_buszjegyekkel_tortent_visszaeles_jegyautomatak__2020_10_04_vitezy_david

Válasz

Megveszi a T-Systemset a 4iG | 2019. július 09.

Felvásárolja a 100 milliárd forint árbevételű, az IT-szolgáltatások piacán vezető T-Systems Magyarországot a 4iG. A vásárló célja, hogy az új vállalat nem csak hazai, hanem regionális szinten is az informatikai szektor egyik meghatározó szereplője legyen.

Beigazolódtak az elmúlt hónapok iparági pletykái, a Mészáros Lőrinc érdekeltségébe tartozó 4iG felvásárolja a T-Systemset. A tulajdonos Magyar Telekom hivatalos közleménye szerint a két fél előzetes megállapodást írt alá a T-Systems Magyarország eladásáról, mely alapján a 4iG a tranzakció zárásakor megvásárolja a T-Systems részvényeit. Az ügylet zárását megelőzően a T-Systems kis- és középvállalati értékesítési üzletágát leválasztják, így az nem képezi a tranzakció tárgyát. A felvásárlás lezárásának időpontja az átvilágítási folyamattól, a felek közötti tárgyalások alakulásától, illetve a szükséges hatósági engedély(ek) megszerzésétől függ, de a felek elvárása szerint az idei év végéig befejeződhet az akvizíció.

Az aláírt előzetes megállapodásban a Magyar Telekom és a 4iG megegyezett az egyelőre nem publikus vételárban, illetve a főbb feltételekben, azonban a tranzakció teljes feltételrendszere az előzetes megállapodást is ide értve - a T-Systems átvilágítása és a felek közötti további tárgyalások függvényében - a végleges adásvételi szerződés aláírásával válik kötelező erejűvé. A megállapodás alapján a 4iG arra is jogot szerez, hogy a tranzakció zárását követő három évig, a megállapodás feltételei szerint Magyarországon használhassa a T-Systems márkanevet. A felek a tranzakció zárását követően hosszú távú együttműködési megállapodást kötnek, amelynek értelmében a T-Systems továbbra is értékesítheti a Magyar Telekom távközlési szolgáltatásait a nagyvállalati és a közszféra szegmensekben - derül ki a közleményéből.

A HWSW egyik szakértője szerint utóbbi a tranzakció kulcsmondata, a távközlési szolgáltatások értékesítéssel válhat teljessé a 4iG informatikai portfóliója. Eddig ugyanis a vállalat nem tudott telekommunikációs megoldásokat kínálni, ami miatt mind a közszférában, mind pedig a nagyvállalatoknál rengeteg szerződéstől eshetett el. A probléma a T-Systems megszerzésével egy csapásra elhárul, a 4iG képes lesz teljes körű portfóliót kínálni a rendszerintegrátori tevékenységektől kezdve a távközlési szolgáltatásokig bezárólag.

"A gazdaság digitalizációjának felgyorsulása egyedülálló üzleti lehetőséget jelent a 4iG számára. Társaságunk célja, hogy ebben a dinamikusan fejlődő piaci környezetben itthon, és 2-3 éven belül a régióban is az informatikai szektor egyik meghatározó nagyvállalatává váljon. A T-Systems Magyarország növekedési céljaink elérésében az egyik legfontosabb mérföldkő. Vállalatunk fejlődésének pedig további lendületet adhat, hogy a tranzakció sikeres zárását követően a telekommunikációs piac vezető szolgáltatója, a Magyar Telekom is stratégiai partnerünkké válhat" - mondta Jászai Gellért a 4iG elnök-vezérigazgatója.

Rékasi Tibor, a Magyar Telekom vezérigazgatója a következőt fűzte a megállapodáshoz: "Büszkék vagyunk a T-Systems-re, mely 1600 fős munkatársi és több ezer fős partneri állományával az ország vezető infokommunikációs szolgáltatója és számos vállalat és intézmény transzformációs partnere. Olyan szakmai befektetővel állapodtunk meg, aki folytatja majd ezt az innovációs tevékenységet, és támogatni tudja a T-Systems további növekedését".

A T-Systems Magyarország még 2012 tavaszán született meg KFKI Zrt. névváltásával. A Magyar Telekom Vállalati Szolgáltatások Üzletágához tartozó leányvállalatok ezt követően sorra vették el a T-Systems nevet és kerültek be az anyavállalat márkaernyője alá. A KFKI után beolvadt az IQSYS, a Dataplex és az ISH is, 2013-ban pedig a Daten-Kontor is csatlakozott. Az átalakulás a hatékonyságnövekedés érdekében nem csak a márka, hanem működés szintjén is megtörtént, többek között egy egységes értékesítési szervezetet eredményezve.

Válasz

Hiányos vádirattal, fenyegetőzéssel és az ügyészség szakmai hozzá nem értése mellett zajlik annak az etikus hekkernek a büntetőpere, aki 2017 nyarán felhasználók százezreit veszélyeztető hibát tárt fel a Magyar Telekom informatikai rendszerében.
... https://index.hu/techtud/2019/01/27/telekom_tasz_biztonsagi_hiba_etikus_hekker_per/

A bejelentett vagy felderített hibákat azonnal javítják, és folyamatosan intézkedéseket tesznek a biztonság növelése és ügyfeleik védelme érdekében.

-- Amennyiben a Magyar Telekom Csoport valamely rendszerén valaki hibát talál, és ezt a Telekomnak haladéktalanul jelzi, semmilyen módon nem él vissza ezzel (pl. nem módosít, nem töröl, nem ment ki információt stb.), együttműködik a Telekom saját vizsgálatával és nem publikálja a hibát (ezzel veszélyeztetve a rendszert), akkor a Telekom nem tesz feljelentést ellene.

A Magyar Telekom Csoport még azt közölte: az internetbiztonság érdekében kész komoly szerepet vállalni Magyarországon az „ethical hacking” tevékenység témakörében, ezért iparági szintű konzultációt kezdeményez. András szerint azonban most épp annak a megítélése nehéz, mit is tekintenek haladéktalan jelzésnek. Vajon hagynak-e elég időt arra, hogy valaki kívülről feltárjon egy hibát, és ezt jelezze. Vele épp az történt, hogy felfedezett egy biztonsági rést, nem sokkal ezután pedig már feljelentést is tettek miatta. Esélye sem volt arra, hogy a dolog végére járjon.
... https://index.hu/belfold/2017/07/26/telekom_t-systems_biztonsagi_res_nni_etikus_hekker_rendorseg_nni_orizetbe_vetel/

Minősíthetetlen színvonalú ügyészi munka

De bármilyen szomorú is, hogy egy vállalat börtönbe juttatná azt, aki helyette is megmenti az előfizetőit, az igazi probléma az ügyben az ügyészség vállalhatatlan eljárása. A jelek szerint ugyanis nem csak hogy nem értenek, de nem is akarnak érteni annak a pernek a tárgyához, amelyben éppen vádat emeltek.

Mire alapozzuk ezt? Például arra, hogy az ügyészség olyan vádirat alapján kér börtönt a védencünkre, amiből nem derül ki, hogy pontosan mit is követett el. Persze meg van nevezve egy Btk.-paragrafus, éppen csak az nincs körülírva, hogy mi az elkövetés helye, ideje, eszközei, módja, a bizonyítékok és a vád kapcsolata, és általában semmi, amit a törvényes vádhoz szükséges lenne részletesen bemutatni. Ehelyett két bekezdésben, nagy vonalakban letudják a tényállás leírását, amiben az elkövetés menetéről annyi derül ki, hogy az „pontosan meg nem határozható időben”, „az internet felhasználásával” történt. A jogi indoklás még ennél is rövidebb: mindössze két mondat.
... https://ataszjelenti.blog.hu/2019/01/25/igy_kert_bortont_etikus_hacker_vedencunkre_az_ugyesz

Válasz

„A Telekom szerint legyen mindenki informatikus”

A jövő informatikusa jelenti a kapcsot a felgyorsult felhasználói igényekhez való alkalmazkodás és a robbanásszerű technológiai változások között – derült ki az év egyik legnagyobb szakmai konferenciája, a Symposium második napján. A hazai infokommunikációs szcéna meghatározó rendezvényét követő eseményre, a T-Systems Jövőterére közel 300, műszaki pálya felé orientálódó diák is ellátogatott. Az eseményről készült beszámolót a Telekom a "Legyen mindenki informatikus!" címmel látta el.

„Hallottam már a virtuális valóságról és a mesterséges intelligenciáról, de sejtelmem sem volt arról, hogy már most is ilyen sok területen van jelen az életünkben” – lelkesedett az egyik műszaki középiskola tanulója, miután Vandával, a T-Systems virtuális asszisztensével beszélgetett. Ő és a társai a csomagok belső nyomkövetését is megfigyelhették a T-Systems Jövőtér Ipar4.0 standjánál, és láthattak biztonságos munkahelyi környezetet támogató okosóra-applikációt is: az EHS (Environmental, Health and Safety) a csökkent hallásképességű dolgozókat értesíti a veszélyről, például a tűzriadóról a csuklójukon viselt okosóra rezgéseivel.

Ezen kívül is rengeteg látnivaló akadt az eseményen felállított Jövőtér interaktív kiállításon, amelyen a T-Systems Magyarország komoly arzenált vonultatott fel digitális megoldásokból. Csupa olyat, amelyek olyan oldaláról mutatják be az informatikát, ahogyan nem feltétlenül találkozni vele az iskolákban.

Az érdeklődő közel 300 diák és 100 tanár olyan okosvárosi „kellékekkel” ismerkedhetett, mint a levegő minőségének szenzoros javítása vagy az okos parkolás, de megmutatták nekik a legújabb generációs banki infrastruktúrákat és csalásdetektálási megoldásokat, ízelítőt kaptak a T-Systems kiberbiztonsági laborja, a CTRL működéséből, láttak 5G demót, valamint azt is megnézhették, hogyan néz ki a kiterjesztett valóságban egy V8-as motor összeszerelése.

A kiállításra ellátogató diákok zöme a Neumann János Számítástechnikai Szakgimnáziumból és a Fazekas Gimnáziumból érkezett a T-Systems Jövőtérre. A Neumann János Számítástechnikai Szakgimnáziummal a T-Systems Magyarországnak több évre visszanyúló gyakornoki partneri együttműködése van, de nem a szó hagyományos értelmében. Hiszen a cég olyan diákokat vár ezekre a valóban szakmai programokra, akik hajlandók és képesek is úszni a mélyvízben, azaz az érdeklődésüknek megfelelő tudással rendelkeznek, és ehhez igazodó ambíciók fűtik őket.

De a friss szellemi tőke mozgósítására ezeken kívül is számos eszközt vet be a T-Systems. A vállalat éles projektekre kihegyezett, középiskolás tehetséggondozást folytat, „Legyél Te is informatikus!” elnevezéssel pályaorientációs programot működtet a Telekommal közösen, és benne van a Lányok Napja országos kezdeményezésben is, amelynek célja az informatika vonzóbbá tétele a középiskolás lányoknak. Az ehhez a területhez kapcsolódó szakmák ugyanis egyre inkább a kreativitásról szólnak, aminek fényében nem meglepő, hogy a T-Systems Jövőtér résztvevői szerint a felgyorsult felhasználói igényekhez való alkalmazkodás és a robbanásszerű technológiai változások közötti szakadék felett a jövő informatikusai vernek hidat.

Az emberi tényező egyébként is a kulcs a jelenleg zajló átalakulásban. „A digitalizáció messze túlmutat a csupasz technológián, az emberi tényező megkerülhetetlen, vele egyenrangú, sok esetben fontosabb része. Így a digitalizáció valójában nem a mit és a miért, hanem a hogyan kérdésre ad választ” – fogalmazott a rendezvényen Kaszás Zoltán, a T-Systems Magyarország vezérigazgatója, hozzátéve, hogy a digitalizáció nem más, mint a világ alkotóelemeinek egymáshoz kapcsolódása.
... https://pcforum.hu/hirek/21029/a-telekom-szerint-legyen-mindenki-informatikus

Válasz

A „The Pwnie Awards” talán a leginkább figyelemre méltó díj a biztonsági szakmában, mivel a legfelkészültebb szakemberek vizslatják meg, hogy az elmúlt időszakban hol és hogyan történtek biztonsági incidensek.
... https://itcafe.hu/hir/bkk_hacker_dij.html

Szomorúan állapíthatjuk meg, hogy idén a BKK-incidens is díjazott/nevezett lett, mégpedig abban a kategóriában, ahol azokat az eseteket veszik számba, amikor az érintett szolgáltató a legbénábban kezelte a biztonsági incidenst. A díjat végül más kapta meg, de már a részvétel is dicséretes.

-----

https://www.youtube.com/watch?v=5tklk596Urg
Bodega, bodega ...

Válasz

Olcsón megúszta a BKK az adatvédelmi botrányt
https://24.hu/tech/2018/02/02/olcson-meguszta-a-bkk-az-adatvedelmi-botranyt/
2018. 02. 02.

Fél évvel azután, hogy a 24.hu megírta,
https://24.hu/tech/2017/07/25/regisztralt-a-bkk-e-jegy-rendszereben-hozzaferhettek-az-adataihoz/
több mint háromezer ember adatai szivárogtak ki a BKK online jegyértékesítési rendszeréből, ezzel beverve az utolsó szöget is a hibáktól hemzsegő felületbe, az adatvédelmi hivatal bizonyította: a kiszivárgott adatok valósak voltak, a közlekedési céget 10 millió forintos bírság megfizetésére kötelezték, a rendszert fejlesztő és üzemeltető T-Systems Magyarország elleni eljárást viszont megszüntették. A hatósági vizsgálat érdekes részleteket is feltárt.

Adatvédelmi incidens és súlyos jogsértés történt, mondta ki az Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a tavaly nyáron, még a vizes világbajnokság kezdetére a Budapesti Közlekedési Központ (BKK) által elindított, a T-Systems Magyarország (TSM) által fejlesztett online jegyértékesítési rendszer kapcsán.

A határozat szerint
http://naih.hu/files/NAIH-2018-356-H_hatarozat.pdf
a 24.hu birtokába került és a hivatalnak megküldött több mint háromezer felhasználó adatairól „egyértelműen megállapítható, hogy a BKK online jegyértékesítési rendszerének adatbázisából származik”.

A hatóság szerint a BKK rendszerébe annak 2017. július 24-ig történt leállításáig 6315 ember regisztrált, az általunk megküldött adatbázis 3479 felhasználó e-mail címeit tartalmazza, míg a felhasználók körülbelül 6300 személy adatait küldték el a NAIH-nak. A hatóságnál hivatalosan panaszt tévő felhasználók közül – akik úgy nyilatkoztak, regisztráltak a rendszerbe – tizenhárom ember adatait azonosította be a NAIH a 24.hu-s adatbázisban, vagyis az ő adataik biztosan kiszivárogtak. De mivel a hatóság csak egy százas mintát vizsgált, ennél jóval többen is lehetnek.

Péterfalvi Attila, NAIH elnök határozatában kiemeli: a BKK súlyos jogsértés követett el, amikor hibásan határozta meg az adatkezelés jogalapját, a felhasználóknak készült tájékoztatóban kirívó hibák szerepeltek, abból hiányzott az adatkezelő, azaz a TSM megnevezése is, az adatkezelés mikéntje nem volt megtervezve. Ezt igazolja, hogy egy évente több millió utast kiszolgáló fővárosi közlekedési vállalatnak egyetlen konkrét válasza volt az adatvédelmi incidensre: azonnal leállítani az online rendszert, hogy a további atrocitásokat elkerülje.

-- Különösen amiatt tekinthető súlyosnak a Kötelezett (BKK) jogsértése, mivel az online jegyértékesítési rendszer a tervek szerint több tízezer, sőt a későbbiekben több százezer érintett adatainak a kezelésére irányult volna.

– olvasható a határozatban. A jogsértés „azt mutatja, hogy a BKK alacsony szinten tudja alkalmazni a tevékenységére vonatkozó jogszabályi és adatvédelmi követelményeket”.

Az is érdekes, hogy a BKK másfél hónappal az incidens után tudta csak megállapítani, hogy adatszivárgás történt, amikor tavaly szeptemberben bepillanthattak a 24.hu által megküldött dokumentumokba a hatóságnál. Az eset körülményeit a tavaly nyáron megindított belső vizsgálat a mai napig nem tárta fel, pedig „viszonylag rövid időszakra eső adatkezelés megvizsgálására lett volna szükség.”

Emellett az érintetteket sem tájékoztatták az adatszivárgás lehetséges következményiről, így nekik sérült az információs önrendelkezési joguk.

Az adatvédelmi hatóság a rendelkezésre álló információk alapján megállapította a BKK mulasztásait, így azt már nem vizsgálták, hogy mi okozta az adatszivárgás bekövetkeztét. Ugyanakkor felszólították a közlekedési céget, hogy

-- Tegye meg a szükséges intézkedéseket annak érdekében, hogy az adatvédelmi incidens körülményeit, valószínűsíthető kockázatait feltárja, és ezekről a 2017. július 24. előtti időszakban regisztrált felhasználókat tájékoztassa, illetve a jövőbeli adatkezelések során megfelelően gondoskodjon az adatbiztonsági követelmények teljesítéséről.

A maximális kiszabható bírság fele, tízmillió forint megfizetésére kötelezte a hatóság a BKK-t, a cég ugyanakkor olcsón megúszta, tekintve, hogy a 2016-os naptári évben több mint 89 milliárd forintos árbevételt ért el, amire egyébként a NAIH is tekintettel volt.

Tarlós István főpolgármester a Magyar Nemzetnek úgy nyilatkozott: minden fővárosi cégnek egyszemélyi felelőse van, a BKK esetében Dabóczi Kálmán. A BKK vezérigazgatója a lappal közölte: ahogy a Közbeszerzési Döntőbizottság tavalyi, 150 millió forintos büntetést
https://24.hu/belfold/2017/12/21/150-millios-buntetest-szabtak-ki-a-bkk-e-jegyrendszere-miatt/
meghatározó döntését, úgy a NAIH határozatának több pontját is vitatják, ezért várhatóan bírósághoz fordulnak.


Érdekes részletek

#1

A BKK 2017. július 27-én belső vizsgálatot indított annak feltárására, hogy mi okozta az adatvédelmi incidenst, ez azonban jelenleg is folyamatban van, annak eredményéről a közlekedési cég a hatóságnak sem nyilatkozott.


#2

A BKK ugyan szeptemberig nem kezelte adatvédelmi incidensnek a történteket, azt viszont igen, hogy a felhasználók megfelelő azonosítás nélkül képesek voltak adatok törlését kezdeményezni,
https://24.hu/tech/2017/07/21/pofonegyszeru-biztonsagi-szakadek-is-van-a-bkk-nal/
azaz például a regisztrációnál megadott e-mail fióktól teljesen eltérő címről is kérhettük, hogy töröljék a fiókunkat, és az megtörtént.

Mint a határozatban olvasható: “a törlés elvégzését megelőzően nem került megfelelően azonosításra az érintett.”

Ennek elhárítása érdekében a BKK felfüggesztette a személyes adatok törlésében részt vevő munkavállalók hozzáférését az online jegyértékesítési felület háttérrendszeréhez.


#3

A TSM szállította és saját maga üzemeltette a rendszert, ahhoz a BKK-nak nem volt hozzáférése (adatbázis, naplófájl), így annak ellenére, hogy adatkezelő volt, detektálni vagy kivizsgálni sem tudott volna egy esetlegesen bekövetkező eseményt.

-- Az adatbázisokhoz csak a TSM által kijelölt üzemeltető kollégák fértek hozzá”

– írta a BKK a hatóságnak. A TSM pedig közölte: az adatbázis és az alkalmazás szerverét valóban ők üzemeltették, de a webszervereket, a routereket, a hálózati infrastruktúrát már a BKK.


#4

A TSM által felkért külső cég, az Ernst&Young vizsgálata során sérülékenységeket tárt fel a rendszerben, amelyek már az üzembe helyezést megelőzően is fennálltak. Ugyanakkor a TSM úgy nyilatkozott:

-- a jelentésben rögzített sérülékenységek döntő többsége elvileg sem teszi lehetővé az adatok kiszivárgását. Az adatvédelmi szempontból releváns sérülékenységekkel kapcsolatban az E&Y tényleges adatszivárgásra utaló nyomot nem tudott kimutatni.

Ezzel kapcsolatban megküldtük kérdéseinket a TSM-nek, így például érdeklődtünk a döntő többségen felüli sérülékenységek okozhattak volna-e adatszivárgást? Illetve, ha nem találtak adatszivárgásra utaló nyomot, akkor hogyan került az adatbázis illetéktelen kezekbe?


#5

A határozat szerint „ezeket a hiányosságokat a rendszer átvételekor, vagyis az adatkezelés megkezdése előtt kellett volna feltárnia a BKK-nak, illetve a TSM-nek.” Hozzátették: a tényállás feltárása során a BKK nem igazolta, hogy ilyen ellenőrzést bármilyen módon elvégzett volna.


#6

A TSM tekintetében ugyanakkor arra jutottak, hogy megtette a megfelelő intézkedéseket az incidens körülményeinek feltárására, „melyek alapján nem állapítható meg, hogy a rendszer üzemeltetése körében felmerülő hiányosság okozta volna az adatvédelmi incidens bekövetkezését.” Így ellenük az eljárást megszüntették.

Hogy érthető legyen a történet: kicsit olyan ez, mint amikor az ember szerelőnél hagyja az autót, majd amikor elvinné azt, a szerelő közli, hogy a fék még nem működik megfelelően. Emberünk ennek ellenére elviszi az autót családostul, mindenestül, majd balesetet szenved. Az okozott károkért nem a szerelő (TSM) felelős, hanem a sofőr (BKK), aki a döntést meghozta, hogy a tudottan hibás autóval mégis elindul.


Időrend

-- 2017. július 21. 12:00 és júius 23. 16:00 Túlterheléses támadás (DDoS) érte az online jegyértékesítési rendszert.
-- 2017. július 23. A BKK leállította a rendszert, többé nem lehetett regisztrálni, ez volt az egyetlen esemény, amelyet az adatvédelmi incidens elhárítása érdekében tett a NAIH szerint.
-- 2017. július 24. A 24.hu megküldi a birtokába került adatbázist a NAIH-nak.
-- 2017. július 25. Megjelenik a tényfeltáró cikk.
https://24.hu/tech/2017/07/25/regisztralt-a-bkk-e-jegy-rendszereben-hozzaferhettek-az-adataihoz/
-- 2017. július 27. A BKK belső vizsgálatot indít, ez még jelenleg is folyamatban van.
-- 2017. július 31. A NAIH adatvédelmi hatósági eljárást indít.
https://24.hu/belfold/2017/08/02/bkk-botrany-eljaras-indul-az-e-jegy-es-bubi-felhasznalok-adatai-miatt/
-- 2017. augusztus 2. A BKK közbringa rendszere is kompromittálódhatott,
https://24.hu/tech/2017/08/02/regisztralt-a-bkk-kozbringarendszereben-hozzaferhettek-az-adataihoz/
a 24.hu újabb adatbázist továbbított, az ezzel kapcsolatos hatósági eljárás még tart.
-- 2017. augusztus 2. A NAIH nyilatkozatra hívta fel a BKK-t és a TSM-t, hogy felderítse, ki milyen minőségben érintett az ügyben, és mi történt pontosan. A 2013. szeptember 4-én kötött fő projektszerződés, illetve annak 2017. július 13-án kelt 3. számú módosítása alapján: a BKK adatkezelőnek, a TSM adatfeldolgozónak számít.
-- 2017. augusztus 17. A BKK nem azonosítja adatvédelmi incidensnek a történteket.
-- 2017. augusztus 18. és 21. A TSM bizonyítja, hogy adatfeldolgozó az ügyben.
-- 2017. szeptember 6. A TSM betekint a NAIH dokumentumaiba, így a 24.hu által megküldött adatbázisba.
-- 2017. szeptember 12. A BKK betekint a NAIH dokumentumaiba, így a 24.hu által megküldött adatbázisba.
-- 2017. szeptember 15. A BKK úgy nyilatkozik, mégis adatvédelmi incidens történt.
-- 2017. szeptember 21. A TSM megküldte a független tanácsadó cég vizsgálati jelentését, de iratbetekintési korlátozást kért rá. Abban rögzítésre kerültek a sérülékenységek, de adatszivárgásra utaló nyomot, bizonyítékot nem találtak.
-- 2017. december 11. A BKK a tűzfal-naplóállományt megküldi a hatóságnak, közlik: részletesebb vizsgálatot csak TSM tud lefolytatni.
-- 2017. január 22. A NAIH megállapítja a jogellenes adatkezelést, és bírság megfizetésére kötelezi a BKK-t.

Válasz