切符購入サービスの脆弱性を指摘した18歳のハッカーを通報して逮捕させた交通機関に抗議の「星1つ」レビューが4万5000件も殺到


ウェブサービスの脆弱性を見つけたハッカーがそのことを指摘し、企業が対応するという事例を時々見かけますが、ハンガリーではブダペスト交通センター(BKK)という公共交通を担う組織が脆弱性を指摘したハッカーのことを通報したためハッカーが警察に逮捕され、BKKのFacebookページのレビューに4万5000件の「☆1つ」が並ぶ事態となっています。

45,000 Facebook Users Leave One-Star Ratings After Hacker's Unjust Arrest
https://www.bleepingcomputer.com/news/security/45-000-facebook-users-leave-one-star-ratings-after-hackers-unjust-arrest/


脆弱性はBudapesti Közlekedési Központ(BKK:ブダペスト交通センター)のチケット購入に関する部分にあり、ウェブブラウザの開発者ツールを利用してソースコードを修正することで、チケット価格を変更することができるようになっていました。この脆弱性に気付いた18歳のハッカーは、本来は9459フォーリント(約4010円)の切符を50フォーリント(約21円)で購入することができました。

IT企業では脆弱性やバグの報告に対して報奨金を出すプログラムを設けているところがあり、2016年には10歳の少年がInstagramのバグを発見してバグハンター最年少記録を更新したというニュースもありました。


BKKの脆弱性に気付いたハッカーは、報奨金狙いだったわけではありませんが、このことをBKKに伝えました。ところが、BKKは「システムにハッキングを仕掛けてきた」として、ハッカーのことを警察に通報。ハッカーはブダペスト在住ではなく、購入した切符も利用していませんでしたが、警察に逮捕されることになりました。

BKKは記者会見を開いて「システムは安全だ」と宣言しましたが、すぐに他のユーザーがTwitterで欠陥を指摘。周辺関係の調査により、システムのメンテナンスに年間100万ドル(約1億円)が費やされていることが判明するに至って、BKKとシステム管理者のKalman Daboczi氏に対する怒りが噴出。ハンガリーのFacebookユーザーを中心として、一丸となってこの若いハッカーを支援することを示すため、BKKのFacebookページのレビューに「☆1つ」が4万5000件寄せられることになりました。

BKK - Budapesti Közlekedési Központ - レビュー | Facebook
https://www.facebook.com/pg/bkkbudapest/reviews/


なお、皮肉なことに、BKKのシステムメンテナンスを請け負っていたT-Systemsという会社は「倫理的なハッキング」のコンテストのスポンサーを務めていたとのことです。

・関連記事
Microsoft製品の脆弱性の94%は管理者権限をオフにすることで回避可能であることが判明 - GIGAZINE

PCを乗っ取られる凶悪な脆弱性が「Flash Player」にあると判明、Adobeが緊急パッチを配布中 - GIGAZINE

USBに設計上の致命的な脆弱性が発見され、そのコードが公開される - GIGAZINE

373

in セキュリティ, Posted by logc_nt