Foto: AP
Wenn Sie sich für eine Lektion in wie man nicht reagieren, auf bug-reports, suchen Sie nicht weiter als Budapest, wo die Stadt den öffentlichen Nahverkehr ist immer savaged auf Facebook für snitching auf ein Sicherheits-Forscher entdeckten eine Schwachstelle in seinem online-ticketing-Website.
Budapest das öffentliche Verkehrssystem, die Budapesti Közlekedési Központ (BKK), sind viel versprechend, um roll-out einer e-ticketing-system für Jahre—aber jetzt ist das system endlich, und seine Einführung war ein trainwreck.
Ein 18-jähriger Schüler vor einer grundlegenden Sicherheitslücke in BKK ist e-ticketing-Website, lassen Sie ihn ändern den Preis von einem ticket und kaufen Sie es zu einem viel niedrigeren Kosten, Bleeping Computer berichten. Er wechselte seinen browser in den developer—Modus-und das können Sie auch tun mit einem quick-Recht-auf—und war in der Lage, ändern Sie die Website-Quellcode. Er meldete den Fehler innerhalb von zwei Minuten zu BKK so dass es befestigt werden konnte, aber BKK reagierte mit der Berichterstattung ihn an die Polizei.
Da der Mann verhaften, die BKK ‘ s Facebook-Seite wurde überflutet mit mehr als 46.000 ein-Sterne-Bewertungen von empörten Nutzern. Viele von Ihnen sind bei der Umbuchung eine Aussage zugeschrieben, die Jungen Forscher, in dem er sagt, dass er nicht live in der Nähe von Budapest und war nicht in der Eintrittskarte er erworben, sondern einfach berichtet, das Sicherheitsproblem zu BKK innerhalb von zwei Minuten zu entdecken.
In einer Erklärung, die BKK sagte, es war standard-Verfahren, um Verstöße seiner Systeme aber bedauerte, dass der Bericht negativ beeinflusst, eine junge Studentin, die gehandelt haben “in gutem glauben.”
White hat Hacker können oft Rückstoß von Unternehmen, die nicht verwendet werden, um den Umgang mit Ihnen—viele Unternehmen geraten in Panik bei dem Anblick der bug-report. Es ist nicht ungewöhnlich für ein Unternehmen zu berichten, einem weißen Hut auf die Polizei, aber in der Regel passiert, wenn der hacker wurde viel aufdringlicher. Ruft die Bullen, die über eine so offensichtliche Schwachstelle scheint übertrieben—genug, so dass insgesamt 46.000 Menschen schreiben, die Facebook Bewertungen über es.
“Es ist absurd, es macht mich sehr aufgeregt, eigentlich,” sagte Adam Bacchus, chief bounty Offizier im bug-bounty-Unternehmen HackerOne. “Einige Organisationen, sobald Sie sehen, jemand versucht Sicherheit zu testen, abholen das Telefon und rufen die Polizei.”
Unternehmen sollten aber froh sein zu hören von gut gemeinten Hacker-reporting-Fehler, Bacchus sagt. Die Sicherheitslücken existieren oder so, und sollten die Unternehmen wollen über Sie herausfinden, bevor die bösen Jungs zu tun. HackerOne wird manchmal als Vermittler und Bericht Sicherheitslücken für Hacker, die wollen anonym bleiben.
[Bleeping Computer]