Венгерская полиция арестовала исследователя за сообщение об обнаруженной уязвимости

Транспортное управление Будапешта (Венгрия) обратилось в полицию с жалобой на исследователя, сообщившего об обнаружении критической уязвимости в системе оплаты проездных билетов. «Хакером» в этой истории оказался 18-летний юноша, обнаруживший брешь на web-сайте управления и сообщивший об ошибке администраторам сайта. Уязвимость заключалась в том, что пользователь мог изменить стоимость билета перед покупкой и приобрести билет за любую сумму. Для этого нужно было лишь изменить HTML форму на странице браузера перед отправкой данных на сервер. Исследователю удалось приобрести проездной билет стоимостью в 9500 форинтов (около 30 евро) всего за 50 форинтов. После приобретения билета исследователь сообщил об этом администраторам сайта и получил сообщение, что его билет аннулирован. Когда история получила огласку в прессе и начался разбор уязвимостей системы онлнай-билетов, разработчик web-приложения T-Systems Hungary (дочерняя компания Deutsche Telekom) совместно с транспортным управлением Будапешта обратились в полицию и исследователь, обнаруживший уязвимость, был арестован ночью. Бреши, которые обсуждались различными исследователями безопасности, предшествующие аресту: Хранения пароля в открытом виде в базе данных Доступ к личным данным других пользователей системы путем изменения URL Пароль администратора системы - «adminadmin» Копирование чужих билетов Полиция отпустила исследователя через несколько часов после ареста, а официальная страница транспортного управления Будапешта в Facebook получила 45 тыс. дизлайков (1 звезда) от пользователей сети. К слову, стоимость месячной поддержки системы составляет 80 тыс. евро, а компания-разработчик T-Systems Hungary была официальным спонсором хакерских соревнований.