25 juli 2017 14:25

Zo ga je niet om met een lekke website: een pijnlijk verhaal

Een ethische hacker ontdekte een groot lek in de ticketwebsite van een Hongaarse vervoersmaatschappij, die met een arrogante reeks blunders zo slecht mogelijk reageerde.

We weten intussen dat geen systeem waterdicht is, en dat de GDPR transparantie zal brengen naar de digitale wereld. Omgaan met lekken en er over communiceren wordt zo iets waar iedereen vroeg of laat mee in aanraking zal komen. In Hongarije zien we een mooi voorbeeld van hoe het absoluut niet moet.

Het openbaar vervoer in hoofdstad Boedapest wordt verzorgd door Budapesti Közlekedési Központ (BKK). BKK heeft een website waarop je tickets kan kopen. Die site is op het moment van dit schrijven nog steeds niet bereikbaar omwille van een DDoS-aanval waarvan je kan zeggen dat het transportbedrijf die zelf heeft uitgelokt.

Gratis tickets

De saga begint een week geleden. Een onbekende achttienjarige ontdekt op dat moment een beveiligingsprobleem op de BKK-website. Hij slaagt er in om de prijs van een ticket eenvoudig aan te passen, waarna hij perfect legale vervoersbewijzen aan een zelfgekozen tarief kan bestellen. Bij wijze van voorbeeld koopt de jongeman een ticket van meer dan dertig euro voor amper 20 cent.

De jonge hacker, zelf een Hongaar maar niet woonachtig te Boedapest, gebruikt het ticket niet. Hij contacteert plichtsbewust BKK en brengt verslag uit over het lek. Het probleem in kwestie is dramatisch: het volstaat om in de browser naar de BKK-website te gaan, op F12 te klikken om de broncode te zien en in die code het bedrag aan te passen. BKK heeft de kans om zijn site aan te passen zonder dat iemand er echt misbruik van heeft gemaakt.

In plaats daarvan stuurt de overheid op aandringen van de vervoersmaatschappij vier detectives naar de hacker. Ze fotograferen en ondervragen hem uitgebreid. Vervolgens houdt CEO Kálmán Dabóczi een persconferentie waarin hij schaamteloos aankondigt dat zijn bedrijf een hacker heeft betrapt, dat BKK een klacht tegen hem zal indienen en dat de website nu volledig veilig is.

Populair wederwoord

De 18-jarige ethische hacker voelt zich niet geheel onbegrijpelijk op de tenen getrapt. Hij herinnert zich dat er zoiets als het internet en sociale media bestaat, en doet zijn beklag op de Facebookpagina van BKK. In de post maakt hij de wereld attent op zijn intenties. “Ik ontdekte [een probleem] in het nieuwe e-ticketsysteem van BKK en informeerde hen binnen de twee minuten. Ik gebruikte het [frauduleus gekochte] ticket niet, woon niet nabij Boedapest en heb nog nooit met BKK gereisd. Mijn doel was om gewag te maken van de fout bij BKK zodat ze het probleem konden aanpassen.”

De hacker vertelt verder hoe BKK vier dagen lang niet heeft geantwoord op zijn lek en het in de persconferentie verkeerdelijk om een cyberaanval ging. “Niemand denkt dat een 18-jarige een misdaad wilde plegen door alles prompt aan de autoriteiten mee te delen.” Weinig verrassend gaat het internet gretig in op de vraag van de hacker om zijn post te delen, zodat BKK zijn ‘verkeerdelijk statement’ zou intrekken.

De slechte reactie van de vervoersmaatschappij zorgt zo prompt voor een sociale mediastorm, met meer dan 47.000 Facebookers die het bedrijf een slechte review geven en daarbij het statement van de hacker kopiëren. Onmiddellijk ontdekken andere internauten nieuwe fouten in de schijnbaar erbarmelijke broncode van de website. Zo worden wachtwoorden niet gehasht en is de captcha waardeloos.

De CEO besluit dan maar om op de radio te verkondigen dat de hacker moedwillig schade wilde berokkenen aan BKK door het lek te melden via e-mailadressen “waarvan hij wist dat BKK ze nooit zou lezen.” Eén van die adressen was bkk@bkk.hu. “Daarna postte de hacker het lek online.”

Het internet is weinig overtuigd door die reactie, waardoor de CEO opnieuw in de verdediging moet gaan. Deze keer schuift hij de schuld van BKK af: de website in kwestie werd gebouwd door het bedrijf T-Systems en T-Systems had de klacht tegen de hacker ingediend, klinkt het nu.

Uitgelokt misprijzen

T-Systems zelf stort zo mee in de put die BKK voor zichzelf aan het graven is. Al snel blijkt dat de firma ongeveer één miljoen euro per jaar krijgt om de amateuristisch gebouwde website te onderhouden. Onder immense druk van de publieke opinie proberen BKK en T-Systems het zaakje nog recht te trekken: ze willen samenwerken met de jonge hacker en zullen een ethisch hackprogramma starten om dergelijke voorvallen in de toekomst te voorkomen.

Spijt komt na de zonden, denkt de rest van Hongarije, dat BKK prompt straft. Een DDoS-aanval legt de website plat, de media schildert de hacker intussen af als held en het protest is van achter de pc tot op de straat geraakt, met manifestaties voor het hoofdkwartier van de vervoersmaatschappij.

Het hele verhaal is bijzonder pijnlijk. Dat een betaalsysteem rechtstreeks in de broncode zit, zonder dat er validatie plaatsvindt aan de kant van de server, getuigt natuurlijk van een erbarmelijke job van T-Systems, ondanks het pittige prijskaartje dat de websitebouwer vroeg. Moest BKK verstandig gereageerd hebben, dan zouden de problemen echter in relatieve anonimiteit verholpen kunnen zijn. Bovendien lijkt de eigenlijke schuld inderdaad bij T-Systems te liggen. Door de arrogante en ondankbare houding van BKK, maakte het bedrijf zich echter gruwelijk onsympathiek voor het hele land.

De les

Wanneer een ethische hacker je braaf en snel attent maakt op een groot probleem met je infrastructuur, is er maar één juiste reactie: de ontdekker bedanken, het lek meteen dichten en onderzoeken waar het is misgegaan. In het geval van BKK leidt het probleem in dat geval hoogstens tot een nieuwsberichtje over de slechte kwaliteit van de site, zonder dat het imago van de vervoersfirma door het slijk hoeft te gaan.

De les die je hier kan trekken: als het ooit zover is, sla dan mea culpa en wees dankbaar dat een sympathieke hacker een lek in je systeem heeft gevonden voor een cybercrimineel er misbruik van kan maken.