Foto: AP
Hvis du leter etter en leksjon i hvordan ikke å svare på bug-rapporter, ser ikke lenger enn Budapest, hvor byens kollektivtransport-systemet er å få istykker på Facebook for snitching på en security forskeren som oppdaget en feil i sin online billettbestilling nettstedet.
Budapest ‘ offentlig transport system, Budapesti Közlekedési Központ (BKK), har vært lovende til å rulle ut en e-ticketing system for år—men nå systemet er endelig her, og introduksjonen har vært et trainwreck.
En 18 år gammel student oppdaget en grunnleggende sikkerhetsfeil i BKK ‘ s e-billettering nettstedet som la ham endre prisen på en billett og kjøpe det til en mye lavere kostnad, Bleeping Datamaskinen rapporter. Han har slått sin nettleser i developer-modus—som du også kan gjøre med en rask høyre-klikk—og var i stand til å endre sidens kildekode. Han rapporterte feilen i løpet av to minutter til BKK, så det kan være fast, men BKK svarte ved å rapportere ham til politiet.
Siden mannen er arrestert, BKK ‘ s Facebook-side har blitt oversvømmet med mer enn 46,000 en-stjerners vurderinger fra rasende brukere. Mange av dem er reposting en uttalelse knyttet til ung forsker, der han sier at han ikke bor i nærheten av Budapest og har ikke bruk for billetten han har kjøpt, men rett og slett rapporterte sikkerhetsproblemer til BKK i løpet av to minutter for å oppdage det.
I en uttalelse, BKK sa at det var standard prosedyre for å rapportere brudd på sine systemer, men angret på at rapporten var negativt påvirket en ung student som har opptrådt “i god tro”.
Hvit lue hackere kan ofte få blowback fra selskaper som ikke er vant til å håndtere dem—noen selskaper panikk ved synet av en feilrapport. Det er ikke uhørt for et selskap å rapportere en hvit lue til politiet, men det skjer som regel når hacker har blitt mye mer påtrengende. Ringer politiet over en tydelig sårbarhet synes overdrevet—nok slik at 46 000 personer, skriver Facebook anmeldelser over det.
“Det er absurd, og det gjør meg veldig urolig faktisk,” sa Adam Bacchus, administrerende bounty offiser på bug bounty selskapet HackerOne. “Noen organisasjoner, så snart de ser at noen forsøker sikkerhet testing, vil du plukke opp telefonen og ringe politiet.”
Men bedrifter bør være glad for å høre fra velmenende hackere rapportering feil, Bacchus sier. De sårbarheter som finnes enten måte, og bør selskapene ønsker å finne ut om dem før de slemme gutta gjør. HackerOne vil noen ganger fungere som en mellommann og rapportere sikkerhetsproblemer for hackere som ønsker å være anonym.
[Bleeping Computer]