BKK e-ticket

HUP cikkturkáló

> A szerver felé továbbított kérésben a kosárba rakáskor kell átírni egy számot, mert a böngésző küldi el a szervernek, hogy mennyibe kerüljön a bérlet.
- via Meghekkelhető a BKK rendszere, bármennyiért lehet jegyet venni

Cleartext jelszótárolás


via https://twitter.com/vista_df

Valamint:

> "Úgy látszik magától nem csatlakozik a netre, és ezért mondták azt, hogy naponta legalább egyszer frissíteni kell a felületet. "

Ennek vajon mi értelme? Feltételezem van egy QR kód, azt leolvassa az ellenőr és központi szerver segítségével egyből látja a random id-hez tartozó adatokat. (persze lehetne digitális aláírással offline módon is csinálni, de ilyen űrtechnikát nem feltételezek)

Próbáltam keresni a rendszer kiépítésére szánt költséget, de a "BKK eticket millárd" -ra a google csak egy 2013-as cikket dobott ki:
> "A döntés értelmében a bank 54,5 millió euró értékben finanszírozza a projektet, amelynek bevezetése jövőre kezdődhet el. "

( denton | 2017. 07. 14., p – 23:17 )

Tudod, nem az a fő gond, hogy a szakma szégyeneivel rakatták össze ezt az egészet (vagy kezdő juniorokkal), hanem az, hogy erre valszeg milliárdokat költöttek.

Mondok ennél főbb gondot is: akadunk sokan, akik akkor IS káanyáztak, amikor Fletóék csesztek el negyedmilliárdot kormányzati kommunikációt szolgáló, egyébként ingyenes szoftokra - de sokkal többen vannak, akik szakmai érzékenysége szelektív, és CSAK akkor káanyáztak.
A legeslegfőbb gond, hogy ez minden szakmai területen elmondható.
A bárányok hallgatnak, Clarice.

( AMDFan | 2017. 07. 15., szo – 00:09 )

Ez valami szenzációs :D Nem hittem el mikor olvastam az indexen a cikket, de kipróbáltuk kollégákkal. Az egész rendszer nevetséges. teljesen kamu emailcímmel (aktiváló email nélkül), pár perc alatt ott voltunk az OTP oldalán ahol 1Ft-ot kért volna a rendszer a bérletért :D Nyilván nem vettem meg, de ez egy hatalmas vicc. Elképesztően kíváncsi lennék arra, hogy ezt kivel és mennyi pénzért csináltatták meg. Ez körülbelül egy középiskolai szintű programozás számtechórán. Bár én 16 évesen már büszkén megoldottam, hogy csak aktiváló email után tudott a kedves user belépni :)

De azért komolyra fordítva a szót: milyen ócska utolsó senkiházi céget sikerült ezzel a melóval megbízni ahhoz hogy POST paraméterben adjuk át a fizetendő összeget, és ez senkinek nem tűnik fel a fejlesztések, tesztelések során, kirakják productionbe és még ők ugatnak, hogy informatikai támadások érik őket. Hát édes istenem, ekkora istenverte lámákat az utóbbi 20 évben nem látott Közép-Európa...

Botrány? biztos lehetsz benne, hogy ennek az egésznek sem személyi, sem anyagi, sem jogi következményei nem lesznek.
Hacsak nem kikiáltanak a fejlesztés lánc alján egy junior coder-t bűnbaknak, ha már nagyon muszáj lesz csinálni valamit. De abban biztos lehetsz, hogy azokon a menedzsment szinteken, ahol azt kellett volna mondani, hogy "Ne már gyerekek, ez most komoly?!?!? Na üljetek szépen vissza a gép elé,és fussatok neki újra! dekurvagyorsan!!!", na ott semmiféle következménye nem lesz. Se megrendelői oldalon, se beszállítói oldalon...

sajnos látom, hogy _egyes_ állami IT projektek hogyan valósulnak meg - lenne kedvem kiálltani b@meg az nem az alagút vége fénye, hanem
szembe jön a vonat...

és egy-egy projekt átadás/lezárás kapcsán, "MEZTELEN a Király" - nincs kész, nem működik - Ezt hittem hogy a szocializmussal ennek _IS_ vége :-(

Da ha jól gondolom ehhez mind a kliens, mind a szerver oldalon kellett vátoztatni, és erősen kétlem a mély tesztelést. (Mondjuk ha belegondolok, a kliens oldali módosítás elhagyható, égül is elég, ha aa szerver nem veszi figyelembe az átküldött paramétert.)

Vajon hogy zajlott a sérülékenységi teszt: "Mancika, próbálja már megtörni!"

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

*keresi a hup szabályzatát, ahol az elvárások listázva vannak*
*not found*

Nézd, nem jutott épp eszembe, mert egyébként minden mással foglalkoztam. Ez van. A rosszindulatú visszakomment inkább gáz, mint hogy nem néztem utána, ráadásul ahogy látom hiába tettem volna.

Egyébként meséld még el, milyen kötelező eszközöket illik ismernie egy 10 éves hup regnek?

( AiRLAC v | 2017. 07. 15., szo – 07:26 )

"A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni."

EZ BAZMEG!

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Ez nálam is kinyitotta a bicskát a zsebemben.

Erre szavak nincsenek.

TROLL:
Valakinek a tesójának az unohagúgának az öccsének a keresztapjának a lánya végzett 14 hónap alatt a programozó iskolában, szóltak neki, "alapíccsá tesó céget", mert van egy vaskos megbízásunk.

Ameg, összeprogramozott egy mondern felületet pár misiért. khm, milliárd inkább. Azt jóvan az úgy, majd a sajtó osztályon megmondják a tutit, hogy nem a rendszer a rossz, mert egy okleveles profi csinálta, hanem az emberek a hülyék, mert rosszul használják.

Ki is rakhattak volna egy nagy piros gombot "ne nyomd meg!!" felirattal, ami triggerel egy "rm -Rf /" -t a site-ot hosztoló szerveren. /Tuti úgyis root alatt fut, hogy megoldjanak vele pár jogosulltsági gondot :D/
Aztán ha valaki megnyomja, beperlik, mert oda vótt há' íva, hogy ne nyomd meg tesa. :D

ctrl+u után még wordpress-t is látok.
Remélem a WP frissítésre is kötöttek egy vaskoks megbízási szerződést, hogy frissítve legyen. :)

----------------------------------------
o.-

Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips PHP/5.6.26
Ebbol kb kitaltalhato, hogy CentOS 7 futik alatta. Viszont a PHP maga 5.6.26 ... eleg regi es jopar CVE is jott ki ra...

Nem ertem egy Prod rendszer miert hirdeti magarol pontosan, hogy micsoda. Emlekeim szerint 1 parameter atirasaval nem mond tobbet magarol csak, hogy Apache ...

De akkor is az a hozzaallas, hogy feljelentunk mindenkit, de hagyjuk a tervezesi, implementalasi, alapvetoen rosszul mukodo oldalunkat futni... Nevetseges...

Önmagában a szoftververzió nem jelent egy CentOS-en vagy Debian-on vagy Ubuntun foltozatlanságot. Szeretik meghagyni a kiadáskori verziót, de ettől függetlenül backportolgatják a biztonsági és hibajavításokat. Az más kérdés, hogy a megfelelő production konfig már az adminon múlik.

Ezzel a backportolassal teljesen tisztaban vagyok.

Mas kerdes, hogy nem az adminon mulik egy ilyen helyen. Megfelelo technikai specifikacionak kellene leteznie minden alrendszerre aminek ki kellene ternie a minimalis biztonsagi beallitasokra. Itt bele kene tartozzon, hogy nem hozzuk orszag vilag tudtara, hogy milyen verziot hasznalunk (dolgozzanak meg erte)... De hat ez a BKK-nal neha nagyobb helyeken sem megy zokkenomentesen...

( pepelopez | 2017. 07. 15., szo – 09:14 )

Sikertörténet!!!

Sql injekció majd meggyógyítja:)

( nydn | 2017. 07. 15., szo – 10:32 )

csak egy szó: szégyen

és a legjobb az egészben,ahogy korábban is írta valaki, a felelősök úgy sem lesznek elővéve.

Azért azt az apró pici tényt elfelejtetted, hogy a(z egyébként nem olvasott email cimre történő) "bejelentése" után azonnal szaladt a sajtóhoz és ebből kirobbant az elmúlt évek egyik legnagyobb ilyen jellegű cirkusza.

Valószinű inkább emiatt jelentették fel és nem azért, mert csendben megkereste őket és szólt nekik a problémáról.

"szaladt is a sajtóhoz elmondani a részleteket, hogy mindenki tudjon lopni."

Többször el lett mondva, hogy előbb a bkk-nak szólt, és akkor írt a sajtónak, amikor nem kapott választ. Cikkekben volt, srác is nyilatkozta, stb. Itt is le volt írva többször. Mi a francért kell tényként ilyeneket állítani ezek után is????

Persze, nálunk is van olyan telefonszám/email, amin 24/7/365 adnak supportot, de ennek a felhívása/megcímzése nem olcsó mulatság. Nem ismerem a BKK ügyfélszolgálatot, de ha tippelnem kéne, hajnali kettőkör felhívva őket max abban (nem) tudnak segíteni, hogy az automata benyelte a pénzedet. De ahogy fentebb írtam, igazából fogalmam sincs, ha valaki jobban tudja, cáfoljon meg nyugodtan.

A főnök meg már fut is "személyesen megtenni a büntetőfeljelentést", mert ők így javítják a hibákat.
Igazából körvonalazódik itt két-három-négy-öt állításhalmaz (az "elkövetőé", a bkk-é, a t-systems-é, a sajtóé, a politikai oldalaké, meg akit még kihagytam), amik néhány mellékes pontban akár még fedik is egymást.
Ezek között kellene megtalálni az igazságot, a tényleges eseményekre való rálátás nélkül. Mert itt kb. mindenki másodkézből származó információk, meg a saját világnézete alapján ítélkezik, és megy neki az összes többinek.
Közben meg:
-pár napja még úgy volt, hogy nem szólt nekik
-pár napja úgy volt hogy a noreply emailre küldte a jelentést, amit nem néz senki
-pár napja úgy volt hogy egyszerre szólt a sajtónak meg a bkk-nak
-a bkk-vezér tegnapelőtt azt mondta hogy 45 perccel utánuk velük egyidőben szólt a sajtónak aztán még ugyanabban az interjúban két óra negyvenöt percet, meg négy órát is mondott, mellesleg rákente az egész szart a t-systemsre.
-meg úgy is volt, hogy amikor "riasztott a biztonsági rendszer" akkor T-József "személyesen tett feljelentést", amihez csak "át kellett adni a logokat a nyomozóhatóságnak" aztán már mennek is illedelmesen kopogtatni reggel hétkor, természetesen a logok alapján. Nemám azért, mert az újságban látták, ki az, hanem a logok alapján.
-egyébként meg azóta 5-600 kibertámadás éri őket. Remélem, minden esetben mentek kopogtatni a nyomozók, hiszen a sikeres felderítéshez csak a logokat kell átadni...
-meg azt is mondták, hogy az adatok biztonságban voltak link1 link2

Közben meg van egy olyan, hogy adatvédelmi törvény, meg -állítólag- folyik már az ügyben az adatvédelmi szabályokra vonatkozó vizsgálat is. Lehet tenni a tippeket, hogy mekkora ívben lesz elkenve.

Az állítások helyett a tényekkel célszerű kezdeni. A legelső tény, hogy az e-ticket rendszer egy trágyadomb volt amikor élesítették. Először azzal kellene foglalkozni, hogy a „gyártó” miért gondolta úgy, hogy egy használatra alkalmatlan „terméket” ad át*. Utána azzal, hogy a hibák kiderülése után a BKK milyen intézkedéseket tett a gyártó felé, annak érdekében, hogy a hibákat kijavítsa. Esetleg azzal is, hogy a BKK miért nem tett feljelentést a hibás teljesítés miatt, hiszen közpénzből készült a sz@r.

Ezek a problémák akkor is léteznének, ha senki nem vett volna 50 Ft-ért jegyet. Ha ezeken túl vagyunk már, akkor majd lehet foglalkozni a „hacker” tevékenységével, illetve az erre adott válaszlépésekkel.

*: Ennek két oka lehet: Hihették azt, hogy nincs egyetlen olyan leendő jegyvásárló, aki észreveszi a hibákat. Aki ilyet feltételez, az valamilyen álomvilágban él. Ennél valószínűbb, hogy azt hitték, ebből nem keletkezhet semmilyen káruk, hátrányuk. Az már biztos, hogy erkölcsi káruk keletkezett az ügyből. Anyagi és más következményekről még nem volt szó.

ha hittek volna bármit is, nem mennek bele ebbe az üzletbe. - egyik részről sem -

keletkezett egy politikai nyomás, itt a vizesvb, - ki vizezte be? - át kell adni, mert ez csak egyszer van, nem úgy mint a várkertbazár.

no ezt elvállalták.
nemkelletvó'na.

de ki tudta előre. megbuktak, most visznek magukkal mindenkit, akinek láthatóan köze volt a dologhoz.

azok akik elrendelték, kijárták, kizsarolták, most sem láthatóak, és nem is fogják vállalni a politikai felelősséget, sőt nagy örömmel fognak asszisztálni a felelősségrevonásban.
akit meg majd most felelősségre vonnak, nem fog árulkodni, mert... ki tudja miért?

Sok különböző dolgora kérdeztél rá:

  • a szállító azért adta át mert
    • szerződésben kb első helyen rögzített dolog volt a szállítás ideje. (index cikk)
    • a $ nagy részének kifizetését ehhez kötötték (gondolom)
  • "használatra alkalmatlan"
    • ~ mivel a nyilvános használat előtti nap (?) volt "a belső teszt" (index), gondolom közben ki se derült hogy mekkora foshalom az egész
    • kiváncsi vagyok rá, hogy a 3 hónap fejlesztési idő alatt a bkk mennyire nézte meg akármilyen szempontból a készülő cuccot, vagy szállításkor tákolták tovább
    • ha a managereknek a bónusza bármilyen formában összefuggesbe hozhato a hataridovel akkor a darabokban levő szarkupacot is megpróbálják áttolni ami soha nem futott és egyértelműen összeomlik a második látogatónál
    • ugyancsak érdekelne a timeline amit a bkk felállított, meg az arcok véleménye akik a követelményeket ill arra válaszul a rendszertervet összerakták^1 (megrendelő & szállító részéről is), bár valószínűleg NDA alatt vannak a részleteket illetően a hibák kiderülése után
  • "intézkedések"?
    • van rá biztos SLA hogy sürgősség & súlyosság alapján kategorizálva mennyi idő alatt adnak ki javítást/funkció módosítást
  • hibás teljesítés?
    • Van egy átadás-átvételi folyamat amit szabályoz a szerződésük. gondolom az abban levő összes pontot kipiálták majd boldogan jelentették hogy akkor harcra kész az egész végülis minden rublika zöld. Tehát a bürökráciamotor és az implementációt magasról leszaró (rosszabb esetben ahhoz semennyire nem értő) projektvezetők boldogan pacsiznak és fellélegeznek hogy a sikerre ítélt projektet átküzdötték az akadályon, mindenki jelentheti a főnökének hogy minden tökéletes. ott is kizöldítik az excelben a cellát és boldogság, újabb sikerdíj behúzva.
  • **c) halovány fingjuk sem volt arról hogy mit követtek el, szolgalelkűen implementálták amit eléjük toltak (a programozók), ezért vetettem fel (^1)
    anyagi, erkölcsi stb. kára annak kéne keletkezzen aki
  • a lehetetlen határidőre bevállalja a projektet
  • átveszi és kirakja élesbe (elvégre a bkk felé ő felelős érte hogy átvette miután megbizonyosodott róla hogy a követelményeket mind teljesíti)

Mivel a szerződést nem ismerjük így erről túl sokat nem érdemes vitatkozni. Legfeljebb amin el lehet gondolkodni: ha a teljesítés megfelelt a szerződésben foglaltaknak, akkor az(oka)t a személy(eke)t aki(k) a BKK részéről aláírta('k) a szerződést, egyből elküldjék 100 év gályarabságra, vagy előtte legyen bírósági tárgyalás is.

Semmi értelme 1 embert keresztrefeszíteni az egész projekt-szervezet mulasztásai miatt.

Én jobban örülnék neki ha sikerülne feltárni a különböző szinteken a hibákat és mindenhol megfogalmazni a reális ajánlásokat amiket betartva hasonló kolosszális szarhalom összerakása elkerülhető lenne.

A "felelősségrevonás" helyett a "felelősségvállalás"-nak kéne 'menőnek' lennie:
- igen a [választott konkrét issue]-t én b@sztam el, de már éjt-nappallá téve tekerek rajta hogy kijavítsam és x,y,z módon biztosítom hogy hasonló kreténség ne jusson ki az éles rendszerbe.
A bkk-s probléma csak csepp a tengerben, az lenne előremutató ha ebből adódóan lennének lépések amik hatására az egész folyamat "jobb" lesz.

Tudom naív ötlet ezt még felvetni is...

Ehelyett lesz megint néhány szerencsétlen akit megfenyítenek/kirúgnak de maga a szervezet,módszerek,működés,motivációk stb. marad ahogy volt majd legközelebb előző nap kiadják egy független cégnek tesztelésre, és majd rájuk lehet mutogatni..

"és akkor írt a sajtónak, amikor nem kapott választ."

Haha, éppen most hebeg-habog, hogy de ő már 14-én 14:49-kor irt a jó cimre (bkk@bkk.hu) a bkk meg állitja, hogy egyszerre küldte az indexnek is levelet, 16:31-kor már kint volt a cikk az indexen. Tehát ha a bkk igazat mond, akkor 0 másodpercet várt válaszra mielőtt rohant a sajtóhoz (ocsmány húzás), ha pedig az indexesek 0 mp-et alatt irták meg a cikket akkor 2 órát(!) sem várt a válaszra.

"nincs olyan, hogy fair - az élet nem patika mérleg - egy tapasztalatlan 18.éves srác"
Remelem leszel olyan helyzetben, hogy egy software-ben hiba lesz es a keszito nem tudja lereagalni, mert pont egy "tapasztalatlan 18.éves srác" talalta, aki szetkurtolte a vilagnak a hibat. Emiatt neked pl. penz vagy barmi mas hatranyod szarmazik. Remelem akkor is ugyan ezt mondod. Nem, nekem nincs semmi kozom ehhez.
Az, hogy 18 eves, teljesen mindegy. Csak, hat ha ezek utan egy igazi hacker kezd el kutakodni, mert egy "tapasztalatlan 18.éves srác" talalt hibat, akkor o is fog. Csak hat o mar nem fog olyan "etikus lenni". Lasd

Az lehet, de az nem egy 2017-ben bevezetett új rendszer volt (remélem). Itt a jelszó visszaküldése plain textben is csak a kezdő lökést adta meg a "tesztelésekhez" :) Ha az nincs, lehet senkinek nem jut eszébe 50Ft-ért bérletet venni vagy megpróbálni adminként belépni, vagy ha igen, nem az első napokban.

b)-hez mondok egy regi (2009 koruli) sztorit, @leho figyelj:

Ceges menzat vivo ceg kajarendeloje annyira el volt baszva, hogy a prepaid egyenleged NOVELNI tudtad a rendelesek random hozzaadasaval-lemondasaval. Nyilvan volt minta benne. Jelezve lett a problema, ropke 2 het(?) alatt meg is oldottak, majd ra ket het mulva VISSZAKERULT A HIBAS KOD. Hogy is mondjam, utana sokan ingyen ebedeltek evekig, amig le nem csereltek a ceget (es ezzel a rendelo weboldalt). ES NEM TUNT FEL A CEGNEK SOHA. (Igen, igy nagybetuvel.)

Ne nevezzük már etikus hekkernek azt, aki nem az. Ez klasszikus szürkekalapos húzás volt.

Gray hats The hardest group to categorize, these hackers are neither good
nor bad. Generally speaking, there are two subsets of gray hats—those that are
simply curious about hacking tools and techniques, and those that feel like it’s
their duty, with or without customer permission, to demonstrate security flaws
in systems. In either case, hacking without a customer’s explicit permission
and direction is a crime.

CEH All-in-one exam guide, page 6

Szépen teleszartad a topic-ot ezzel a bullshit-tel. Senkit nem érdekel hogy gray vagy white, a lényeg az, hogy nem károkozási céllal, nem nyereség elérése céljából csinálta amit csinált, ÉS utána értesítette az "áldozatot" arról, hogy akkora lyuk van a rendszerén hogy az űrből is látszik.

A TechCrunch szépen leírta: "Hungarian hacker arrested for pressing F12"

Akkor most a ballibmédia jelen állítása szerint mégse értesítette az indexet 0-2 órával a BKK után?

Mert ezt mintha (véletlen!) kihagytad volna a timelineodból ;(

Továbbá igen, már elmondtad az álláspontodat: lehessen mindent előzetes egyeztetés nélkül hekkelgetni, fuck jogbiztonság & shieet o/

Lazán kapcsolódik: bökjed csak ide a saját és munkáltatód IP-it, kthx

"Akkor most a ballibmédia jelen állítása szerint mégse értesítette az indexet 0-2 órával a BKK után?"

A - jelenleg - bákákászopkodó és tészisztemsz-mentegető lakájmédia csicskasajtó álláspontja szerint minden fasza, nincs itt semmi látnivaló, jó áron vettek fasza rendszert, csak azpk a csúnya hekkerek.
Értem hogy hogy te ezt jóízűen elfogyasztottad, ugyanakkor egy személyes adatokat kezelő, közpénzből megvett, és amúgy borzalmasan túlárazott rendszer minősége igenis közérdek.

"Mert ezt mintha (véletlen!) kihagytad volna a timelineodból ;("

Lényegtelen a téma szempontjából, ezért nem szerepel a timeline-on. Nem titkok kiszivárogtatásával vádolják, hanem "hekkeléssel".

"Továbbá igen, már elmondtad az álláspontodat: lehessen mindent előzetes egyeztetés nélkül hekkelgetni, fuck jogbiztonság & shieet o/"

Továbbá: hazudsz, ahogy szoktál.

"Lazán kapcsolódik: bökjed csak ide a saját és munkáltatód IP-it, kthx"

Nem kérted elég szépen.

viszont azokat kirúgják, ha észreveszik,
ezeket meg az orosz kormány megdicséri.

nem mind1

valamint amióta a magyar állam központilag nyilvántartja a szig-eket, és ellenőrizni is tudja helyben és azonnal, megemelkedett az értéke a szig. sz., név, lakhely... adatbázisoknak.

+ az 'etikus hacker' meg magyar volt, - legalábbis magyar állampolgár :) - nem pediglen yenki.
hacsak nem egy ilyen adatbázisból csinált magának személyit, lakcímkártyát, bankkártyát meg ilyesmit:)))) de az a gyanúm, akkor nem szívózott volna a bkk-val

Pont leszarni való h fair v. sem! Ez a legkevesebb. Mindenféle értesítés nélkül is totálisan igaza lenne. Akik súlyos milliókért ezzel az izé..vel álltak elő, azok nem érdemelnek fair eljárást. Élő adásban kellett volna bemutatni, hogy mennyire primitív az egész...még itt értesítgetni őket, meg kivárni míg reagálnak...anyjuk faszát.

Semmilyen törésről nincsen szó! Csak Neked meg a főnöködnek vannak ilyen tévképzetei. Ha a nyitott ajtón betéved valaki az nem betörés. Ilyen primitív rendszert nem lehet megtörni, mivel semmi nem állt ellen. A rendszerének a megtöréséről olyan valaki beszélhet elsősorban, aki mindent megtett annak a rendszernek a védelmében, de minimálisan a legelemibb dolgokban nem vétett olyan orbitálisat, mint akik ezt E-ticketet legyártották.

Az ajtó csukva volt, legfeljebb a zár volt rettenetes primitiv. Attól az még betörés.
De mondok neked még meglepőbbet: az atm nyilásán ottfelejtett pénz zsebre rakása is lopás és elvisznek érte a rendőrök, pedig annál könnyebb pénzszerzés nemigen van. Nemhogy ajtó, de semmi sem védi azt a pénzt, mégsem teheted el.

Nincs a btk-ban olyan kitétel, hogy "mindent" meg kell tenni a rendszer védelmében.

Milyen főnököm? Jól vagy? :)

Valóban döbbenetes, hogy mennyire nincsenek tisztában alapvető törvényekkel sem.
(azzal már nem is akartam sokkolni, hogy ha a szomszéd reggel munkába menet konkrétan tárva-nyitva felejti az ajtaját és ezt látod, akkor sem mehetsz be)

De vigyázz miket irsz, nehogy neked is hirtelen főnököd, meg gazdád legyen :)

A legmókásabb eleme eme jelenségnek, hogy ezek a szerencsétlenek ("hasznos idióták" néven találhatóak meg a szakirodalomban) feltettek egy ubuntut, elolvastak két hamis 24/index cikket, de szívük szerint már személyesen újraírnák a Btk. IT-re vonatkozó részeit, legalábbis.

muh poor 18yo babbies ;((((

Ráadásul az etikus hekkerség az nem valami jolóság, hanem egy szakma, és a szakma művelőjének ismernie kell a jogi hátteret. Azért megnézném a magát etikusnak gondoló hekker fejét , amikor a srác okosházában meghekkelné valaki a tűzhelyét, és úgy demonstratíve melegítene egy kicsit. Vagy az autó zárjának ugrókódját pentesztelné valaki.

Mondjuk, engem érdekelne, hogy tényleg "zár"-nak számít-e az url...
Jegyrendelés közben a macska ráugrik a billentyűzetre, a kurzor pont az url-en van, szám átíródik... a kérdés, ki a hibás, én, a macska, vagy a bkk? És elvárható-e, hogy tudatlanul még a rendelés előtt agyoncsapjam a macskát, hogy nehogy véletlenül feltörődjön a zár? (és elvigyenek)

Nem a guide mondja meg - bár a CEH Exam Guide nem amatőr hülyegyerekek munkája - hanem a törvényi háttér. Írásbeli szerződés nélkül NEM VAGY etikus hekker. Ez grey hat, ami büntetHETŐ, a megtámadotton múlik, hogy kezeli.

Ha valaki elmenne a lakásodhoz "etikus" hekkelni a zárat, vagy akár csak az otthoni wifit, rögtön más lenne a leányzó fekvése.

na azért szép is lenne hogy ha kizárólag azon múlna egy-egy tett megítélése hogy lett-e belőle botrány.
pl normális ember számára a gyilkosság no-go kategóriás cselekmény és nem változtat a helyzeten hogy véres kézzel rajtakapják az illetőt vagy csak évek múlva derül ki.
A tettet kell megítélni nem pedig a körülményeket amik övezik. a shitstormnak ami elszabadult nem kéne kihatása legyen a tett megítélésére!

Szerinted milyen felelősségvállalásra lehet számítani egy olyan világban ahol mindenki a botrányfaktortól függően cselekszik csak? Ha kellemetlen. Pont elég hogy félelemtől vezérelve meg a saját seggének/székének védelmében cselekszenek szerencsétlen emberek. nem ezt kéne szorgalmazni&bátorítani.. Pláne hogy általában ez kaotikus önpusztító rendszerek kialakulásához vezet, legyen szó államigazgatásról vagy céges világról stb.

Mennyivel jobban megy azokon a helyeken ahol kordában&minimális létszámon tudják tartani az efféle gondolkodásmódú embereket..

Rosszul látod. Ha pl az általam felügyelt rendszerek bármelyikében valaki hibát találna és privátban engem értesitene, akkor valószinűleg megköszönném, vagy akár meg is jutalmaznám. Ellenben ha az értesitésem után pár órával szaladna a sajtóhoz és pontosan kiadná, hogyan lehet feltörni a rendszeremet, akkor biztos lehetsz benne, hogy pénzt nem sajnálva mindent megtennék, hogy leültessék, vagy irdatlanul megfingassák.

Úgyhogy igen, nagyon is számit, hogy méltányosan jár-e el, vagy csak 5 perc hirnevet keres magának.

Majd te megmondod, hogy mit csinálhatok a rendszereimmel és kit jelenthetek fel, amikor törvényt sért. Nem tévedtél el egy picit? :)

Más értetlennek is javasoltam már: törögess internetes rendszereket kéretlenül, jelentgesd a felfedezéseidet a sajtóban. Csak jól végződhet a történet, sok sikert hozzá, hajrá! :)

azért van az hogy mára valahogy mind a bkk, mind a t visszavett az arcából, mert a bkk az ugye egy állami vállalat, és akikkel most ujjat húzott, az a nép.

a t-nél pedig pluszban ott van a piac. ami egyből 0-ra irta a népszerűségét a facen. kezdetnek :)
ami kihat majd a megrendeléseire, ami pedig a tulajdonosokra..

már most látható, hogy a deutsche telekom is megsínyli.
vagyis hátrább az agyarakkal:)

Miért én szerinted állami vállalat vagyok, vagy mi közöm van nekem ezekhez a marhaságokhoz amikor ideraktál?

A t azért vett vissza az arcából, mert iszonyat béna rendszert adott ki a kezei közül, igy nem nagyon ugrálhat és nem azért, mert legális volna felnyomni bármilyen rendszert. Ha mondjuk egy bonyolultabb XSS-el törik meg, ami már nem triviális, akkor biztos lehetsz benne, hogy ők se sajnálnák a pénzt, hogy rendesen megszivassák a gyereket.

'Majd te megmondod, hogy mit csinálhatok a rendszereimmel és kit jelenthetek fel, amikor törvényt sért.'

mert ahogy mindenkit, egyszer, - v. többször is - utolérhet valami amitől neked is vissza kell venned az arcodból, és más javaslatára kell(ene) halhatnod :))
ez a közöd hozzá.

"törögess internetes rendszereket kéretlenül"
Feltores meg mindig nem volt. Gondolom nem vagy informatikus ha ennyire kevered a dolgokat. Ami nem is problema. :)

"Majd te megmondod, hogy mit csinálhatok a rendszereimmel és kit jelenthetek fel, amikor törvényt sért. Nem tévedtél el egy picit? :)"
Javaslat volt inkabb, mert rosszul allsz a dolgokhoz. Tehat azert, mert esetleg egy balfasz vagy nem feljelenteni kell, hanem valtozni.

Kevin Mitnick is CSAK AZÉRT kapott 5 év börtönt kegyelemből, mert
nem pénzért csinálta.
A bíró szerint, ha anyagi haszonszerzés vezérelte volna a Boeing,
Nokia, Fujitsu, Motorola, Sun Microsystems stb. gyártók oldalainak feltörésénél, akkor már csak 150 év és szabadulna.Tudod yenkiknél összeadják az elkövetéskor használt módszereket,
aztán beszorozzák vagy 8-al.
Azért jönnek ki ilyen 120 éves ítéletek, ami magyar szemmel elképzelhetetlen.
Amiért nálunk max 5 évet adnak fiataloknak.

Most azon kívül h ezt fennen hangoztatod itt, van valami alapja annak, h miért kéne a pénzelt etikus hekkerek önérdekű madárnyelvét definitíve elfogadnunk? Bizonyára rontja a boltot a pénzelt etikus hekkerek számára, h az etika nem írásbeli engedély függvénye.
Itt a "sebezhetőség" fogalma teljes mértékben tisztázatlan. Ennek kihasználására való hivatkozás egy olyan blődség, amit kb az etikus-hekker orrfolyamot kitalpalóknak rághatnak a szájába.

( fezo | 2017. 07. 15., szo – 10:34 )

Ebben az a legszomorúbb, hogy keleteurópai programozók készítik több hires vagy hírhedt cég szoftwereit és az állam nem képes felhajtani két-három embert, aki egy normális munkát elvégezzen.
Erre a válasz is egyszerű, nem fizetik meg az embert. Az elköltött pénz olyanok zsebében landol mint Mészáros vagy Vajna (semmi személyes, a két név csak példa) és nem azokéban akik a munkát elvégzik.
Ez a BKK semmiség a román egészségi kártyához képest, ami már 4-5 éve, mióta beindult, hetente omlik össze és senki nem tudja/akarja rendbetenni.

Isten hozott a Balkánra, a bolygó egyik legkorruptabb térségébe.

...nem képes felhajtani két-három embert...Erre a válasz is egyszerű, nem fizetik meg az embert...
Egyik feltételezésed sem felel meg a valóságnak. Igenis megtalálják azt a 2-3 embert. Nagyon keresniük sem kell, hiszen ott vannak a közvetlen közelükben. Családon belül, ha a családban nincs elég ember, akkor ott a szomszéd, ráadásul neki is vannak családtagjai. És a probléma máris megoldást nyert. Ráadásul meg is fizetik őket. Sőt, túl is. Milliók, estenként milliárdok tűnnek el fizetődnek ki. Erre mindent lehet mondani, csak azt nem, hogy nem fizetik meg az embert rendesen. Még akkor is marad egy szemmel jól látható összeg, ha 30~60%-át vissza kell osztani.

( cherockee v | 2017. 07. 15., szo – 11:19 )

Ezek után komplett kamikaze, aki a kliens alkalmazást felrakja a telefonjára, és várhatóak kisebb robbanások is leolvasáskor.

( flimo | 2017. 07. 15., szo – 11:55 )

Botrányos kivitelezés, ráadásul semmi értelme az egésznek. Bérlet helyett telefont vehetek elő a személyi mellé. Ennek minimális értelme pont, hogy jegyeknél lenne, nem bérletnél, hirtelen eszembe jut, hogy nincs jegy/lejárt a bérlet, megveszem egy útra, és kész, még azonosítással sem kellene szórakozni.

Amúgy azt hiszem, illetve nagyon remélem, hogy ez az eticket nem az az eticket, amivel 15 éve szenvednek lassan, és tényleg milliárdokat költenek rá. Az elméletileg olyan valami lesz, mint az Oyster, és mindig jövőre kezdik telepíteni. Szerintem odafent rájött valaki 1-2 hónapja, hogy ugyan a "bűnös város" szisztematikus szivatására jó volt a tökölés, de a nagyvezír prezentálni akar a külföld felé, rohadt gyorsan össze kell dobni valami eticket szerűt, mert kiröhögnek, hogy 2017-ben papírfecnivel szaladgálunk. Most majd röhögnek máson.

Az megvan, hogy egy rakás bérletes az okostelefon átlátszó tokja alá rakja be a bérletét, és mutatja fel? Na, most ezt sikerült neten vásárolhatóvá tenni, ami előrelépés lenne, de a megoldás gyakorlatilag veszélyes a BKK-ra.

Az Oyster-hez hasonló pedig ez lenne, legutóbbi tervek tudtommal:

http://rigo.bkk.hu/

Egyébként ilyen rendszerek nincsenek már NFC-s telefonokra, vagy valami hasonló? Megint egy kártyát vinni, tudom, vannak olyan tokok, amibe becsúsztatható hátulra 2-3 kártya, de én purista vagyok ebben.

(Politikai szálra: el ne hidd már, hogy ez tényleg Budapestről szól, ez csak mégegy lehetőség a pénzlopásra, elnézést, megmentésre.)

Igen, sokan csinálják, mert ott nem baszogatnak azzal, hogy hol a személyi. Lásd indexes cikk, hogy telefonnál meg igen, mert ezt könnyebb hamisítani/megosztani. Aztán lehet, hogy majd itt is leszoknak róla.

NFC-s helyett én sokkal jobban örülnék olyan megoldásnak, mint Londonban: beregisztrálom a paypasses bankkártyát, és viszontlátásra. Innentől telefonnal is megy, ha van olyan bankkártyád.

( fdeyso | 2017. 07. 15., szo – 13:09 )

Nem kell regisztralni a kartyadat hanem csak hasznalni, fizeteskent fogja lekonyvelni, akkor kell csak regisztralni ha latni akarod merre jartal, ez ceges kartyanal erdekes csak ugye, maganszemelynek felesleges, en is csak siman a telommal fizetek aztan kesz

Amugy az is lehet h akkora hatalmas osszeget kapott erte a fejleszto mint a vizes vb kabalafigurajanak a tervezoversenyen a gyoztes (550khuf + afa) amiert egy joerzesu fejleszto/dizajner le se ul hogy nekialljon, de egy szomszed verpistike mar megorul es tolja ki magabol a hulyesegeket

nem a BTK, van egy EU-s törvény: "GDPR"

"Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról"

- amely itthon 2018.05.25. napján lép életbe és abban pontosan le van írva a felelősség és
a incidens esetén a büntetés is pl: közigazgatási bírság, amely a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának 4 %-át teheti ki.

Ez alapján - ha majd hatályos lesz - egy ilyen "baki" simán vizsgálat, bírság - kártérítésig lehet vinni...

Majd meggondolják, hogy milyen "haveri" cégnek adnak ki olyan munkát, ahol szamélyes adatkezelés van..

„Majd meggondolják, hogy milyen "haveri" cégnek adnak ki olyan munkát, ahol szamélyes adatkezelés van..”

Most: Havercég „megcsinálja” jó pénzért a munkát a BKK, azaz az előfizetők pénzéből. Sikerül, ahogy sikerül. Ha javítani kell a szoftvert, akkor azért újabb pénzt lehet felvenni. Havercég jól jár, adófizetők fizetnek.

Jövőre: Havercég „megcsinálja” jó pénzért a munkát a BKK, azaz az előfizetők pénzéből. Sikerül, ahogy sikerül. Ha javítani kell a szoftvert, akkor azért újabb pénzt lehet felvenni. Havercég jól jár, adófizetők fizetnek. Ha valaki bepereli a BKK-t, a fenti törvényre hivatkozva, akkor a BKK-ra kiróják a büntetést, amit a befizet az adófizetők pénzéből. A javítást pedig megrendeli a havercégtől. Havercég még jobban jár.

Mit kell ezen meggondolni? Nincs olyan, hogy a BKK pénze, csak olyan van, hogy az adófizetők pénzéből (költségvetési pénzek, jegybevételek) a BKK-nak juttatott pénz. Ha a BKK veszteséges lesz, akkor a veszteséget is az adófizetők pénzéből kell finanszírozni.

Az idézett törvény a nem állami tulajdonú vállalatok számára jelent csak veszélyt. De csak akkor ha nem havercégek.

nem állítottam, hogy csak állami tulajdonú cégre vonatkozik, SŐT...
és az se egyszerű munkamenent, amit leírtál, mert egy projektre egyszer van pénz - nem lehet kisírni pót költégvetést..

A törvény mindenkire vonatkozik, aki személyes adatot kezel: google inc.-től a XY Vízmű kft.-ig vagy a könyvelőkig.
pld. nem tudom, hogy fog megfelelni, az a könyvelő prg, ami pl. DBF-ben tárolja titkosítás nélkül az adatokat ???

Eleg megnezni az allashirdeteses topicban(niif/kifu) "magyarorszag legnagyobb openstack clustere" promot. 1x megkaptak palyazati penzt, elkoltottek. Nagyjabol fut valami. De 500-as erroron kivul mast nem latsz belole. Most, hogy vizsgalat van majd lehet valaki kezd vele valamit, de miota megepult hasznalhatatlan. Tehat eddig nem tortek magukat. Hozza sem nyultak projecthatarido utan :)

És ez ellentmond annak, hogy szerintem lehet ugyanarra a projektre többször is pénzt kapni? Abból, hogy kap még 1x, 2x, 10x pénzt, nem következik, hogy dolgozni is fog a 2., 3., 10. pénz után. (Nyilván valaki fog, hisz le lesz papírozva - márpedig a papírt is gyártja valaki - de az nem kifejezetten tekinthető értéktermelő munkának.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Egy offline szoftver es egy online szolgaltatas tamadhatosaga es ugymond vonzosaga egeszen mas. Titkositas megvalosithato, legalabbis reszben, filerendszer szinten, ami legalabb az adathordozo elvesztese ellen ved. Masreszt egy konyvelonel jellemzoen nyilvanosan amugy is hozzaferheto adatok szerepelnek es ugy egeszben uzleti titkot kepeztek. Kivetel lehet a maganszemelyek adatai, bar akkor is a szolgaltatas nyujtasahoz elengedhetetlenul kello adatok.

" Nincs olyan, hogy a BKK pénze, csak olyan van, hogy az adófizetők pénzéből (költségvetési pénzek, jegybevételek) a BKK-nak juttatott pénz. Ha a BKK veszteséges lesz, akkor a veszteséget is az adófizetők pénzéből kell finanszírozni."

Konkrétan érdekes lenne, ha a vezetők, döntéshozók fizetése nőne/csökkenne arányosan attól függően, hogy jól megy a cégnek, vagy sem. Bár csak létezne valami szervezet ami ezt betartatja velük.

Fletó megbízott egy buzit azzal, hogy dolgozza ki ezt a rendszert. A buzi el lett hajtatva azért mert buzi, Fletó azért, mert Fletó - a korrupcióellenesség jegyében, kéthetes rendbetétel ígérete mentén.
De lehet, hogy nem is így volt, csak nagyot álmodtam.

Igen ez is a pakettben volt, de a fenti felvetés (eredményalapú premizálás) kapcsán nem erre céloztam, hanem erre:

A kormányzati teljesítmény értékelő rendszer lényege, hogy szoros kapcsolatot teremt az értékeltek által végzett munka minősége és mennyisége, illetve a kifizetett jutalmak között, és megteremti a kötelező visszacsatolást főnök és beosztott között. A rendszerben a vezető és a beosztott közösen határoz meg célokat, és közösen értékeli, hogy azok valóban megvalósultak-e. "Vezető és vezetett között tehát nemcsak lehetőség van a folyamatos visszacsatolásra, hanem kötelezővé is válik, hogy a főnök szemtől szemben véleményt formáljon kinek-kinek a munkájáról" - mondta Szetey Gábor.

https://www.hrportal.hu/hr/januartol-indul-a-kormanyzati-teljesitmeny-e…

Magától értetődik, hogy a csinovnyikok nagytestvért kiáltottak, ez szervezetelméletileg így természetes.
Az érdekesebb (de az is természetes), hogy a korabeli konstruktív ellenzék ezt IS támadta - a nagytestvérezés és buzizás között alterálva.
A méltán lejtőn álló Fletó meg nem mert beleállni, mert úgy hiányzott neki a végrehajtásban a passzív vagy akár aktív rezisztencia lehetősége, mint ablakos tótnak a hanyattesés.

Ma meg ilyesfélét gondolni is minimum sorosbérencség volna.

De nem mondom, hogy ebben nincs semmi pozitív: pl. ha Mikszáth feltámadna, nem érné kulturális sokk.

Úgy tudom, hogy ez a teljesítmény-értékelő rendszer valamilyen formában továbbél most is a közigazgatásban.

Ami érdekes számomra, hogy a köz- és államigazgatási szervezetek között nagyon nagyon különbség van az elvégzett munka minőségében, olyan, mintha nem lenne egységes minőségbiztosítás mögötte.
Valahol azt látom, hogy szervezett, jó és folyamatosan fejlődő infrastruktúrával (NAV, okmányirodák), valahol még mindig a Kádár rendszer köszönt vissza (egészségügy, földhivatalok).

"Úgy tudom, hogy ez a teljesítmény-értékelő rendszer valamilyen formában továbbél most is a közigazgatásban."

Lenn a végeken.
El tudod képzelni, hogy a számonkérendő pénz felével elszámolni képtelen, de legalább az operatív munkát (IS) akadályozó KLIK-ben a fejméreten kívül bárkit bármire mértek?

Teljesítményértékelésre van külön rendszer (emlékeim szerint egy .net-es remekmű) közmunkások kezelik mert az osztályvezető nem ért hozzá vagy nem akar. Más kérdés, hogy mondjuk IT-nél ha eltérítenek se keresed meg amit normális helyen adnának. De eltéríteni meg amúgy se fognak mert nincs rá pénz (ahogy ITra sincs)

(nem mintha újat mondana az ittenieknek, de a fenti károk listájához:)

... tehát annak, aki regisztrált, és olyan jelszót használt, amit máshol is használ, annak most sokmindene nyitva van gyakorlatilag bárki előtt. Csodás. Tényleg reménykedek még, hogy az app is okozott valami jó kis adatvesztést a telefonokon vagy hasonló, és akkor ezzel sikerült is überelni az úszó EB állványzatát, amit ugrótoronynak mertek nevezni.

Nemzetközi sajtóban megjelentünk már?

( manfreed (nem ellenőrzött) | 2017. 07. 15., szo – 23:05 )

Én őszintén nem értem miért így próbálták megoldani, miért nem egy NFC-s megoldással próbáltak előrukkolni. A megoldás kísérőjel lehetne ugyanazon az elven működő nfc-s kártya azoknak, akiknek nincs telefonjuk, és hurrá, le lehetne váltani a klasszikus jegyrendszert (ami fasza dolog lesz, most, hogy nemrég állították üzembe a megannyi új jegyautomatát. Nem kellett volna összehangolni ezeket?

Persze tipikus, hogy ilyen választ adnak, miszerint: "A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni."

Próbálják befolyásolni. Nyilván a próbálkozások miatt szar a rendszer :)

( Zahy v | 2017. 07. 16., v – 12:05 )

A javítás előtti állapot - amikor a vásárló mondhatta meg, hogy mennyiért veszi meg a jegyet/bérletet - az a BKV/BKK tesztje volt, amivel az utazóközönséget szondáztatta mg, hogy szerintük mennyit ér a szolgáltatás. És miután kiderült, hogy az utazóközönség nagy számban az eredetileg közponilag beállított áron vette a jegyet/bérletet, nyugodtan hátra lehetett dőlni, hisz jól lőtték be az ár/érték arányt.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

( lyken | 2017. 07. 16., v – 14:38 )

Az lesz a csoda ha eddig még nem bányászta ki senki a useradatokat belőle.

( sz332 v | 2017. 07. 16., v – 15:26 )

Az egyik facebook csoportban írták, hogy simán le lehet kérdezni az ÖSSZES felhasználó által megadott user/password/szemigszám kombinációt, plaintext-ben, kódolatlanul.

Tehát ha véletlenül olyan jelszót adtatok meg itt, amit máshol is használtok, akkor érdemes lenne jelszót cserélni...

( Wabbitseason v | 2017. 07. 17., h – 11:33 )

Témába vágó videó a programozói etikáról, avagy: ha a programozók nem csinálnak "céhet" maguknak, akkor hamarosan valami tökkelütött bürokrata teszi ezt meg, és azzal mindenki nagyon rosszul jár majd.

GOTO 2017 -- The Scribe's Oath -- Robert "Uncle Bob" Martin

https://www.youtube.com/watch?v=Tng6Fox8EfI

azért mert nagy cég, nem jelenti azt hogy minden ami kezükből kimegy profi. sőőt! ellenkezőleg a bürokrácia fellegvára lehet, mire ott végig megy a legkisebb hibajavítás is.
Gondolom senki annál a cégnél nem érzi magáénak a BKK jegyvásárlást. A vezetőknek meg holt mind1 mivan, a BKK úgy is fizet, meg úgyse értik mi az hogy "plaintext".

(Ha már public program pl. bubi telefonos appját is egy átlag hobbi programozó jobbat dobna össze.)

Nem jelenti, hogy ami kimegy a kezük alól az profi, de erősen megrenditi azt az elképzelést, hogy a szomszéd pistikére sózták rá a feladat és átjátszottak neki sokmilliárdot érte. Ha a bkk a T-től rendelte meg a rendszert és ezt a szemetet kapta érte, akkor ott nem valószinű, hogy a bkk a hibás.

Az erre költött összegnek a töredékéért tudnak magán cégek csináltatni maguknak normális működő megoldásokat, akár T-vel, akár mással. Valahogy mindig az állami megrendeléseknél van a gond. Ez azért elgondolkoztató...
De persze ha a böllérkés jó végén állsz, akkor a disznótor is lehet jó móka (már akinek!)

tekintettel arra hogy gondlom a tsystems nem a polcról vette le a rendszert hanem volt egy kezdeti fejlesztés, annak a követelményspeckójába bele kellett volna írni az auditot. csak a sok zseni mánáger biztos kihúzta volna a tételt mert olyan költség amit meg lehet "spórolni" úgyse tűnik fel senkinek a végén, pláne ha értelmes emberek tervezték & implementálták az alkalmazást.
Ha nem volt ilyen követelmény akkor a bkk -is- hibás.

amúgy meg igenis a megrendelő felelőssége is hogy ne egy kalap szart vigyen haza: üzleti etika? lehet feltételezni de nem érdemes rá számítani. a mindenek feletti profitmaximalizálásból adódik hogy a minimumot épphogy teljesítő rendszereket szállítanak, nem pedig "jó megoldás"-t (amit saját magadnak alkotnál)

(főleg használt) autót vásárlás után is elviszed szervízbe hogy megnézze egy hozzáértő.
házat se fotó alapján veszel meg mert a leírás alapján ez jó lesz neked...

Nekem ez már nagyon erőltetett, megpróbálhatod ráhúzni a bkk-ra a vizes lepedőt, de jogilag biztos nem állja meg a helyét ez. Nem a szomszéd pistikét bizták meg, hanem egy óriás multit a rendszer kifejlesztésével, a rendszer elkészült, működik, teljesiti a követelményeket, a userek tudják használni. Hogy egyébként feltörhető (volt, mert már javitották), az abszolut nem a megrendelő hibája, ez a T felelőssége.

Azert business oldalrol mi mindig mindent elkovettunk a T-nel (nem T-Systems "csak" Telekom), hogy terdre kenyszeritsuk a fejlesztok alkotasait. Szenne hekkeltunk mindig mindent frontend oldalrol, ki milyen csomagokat hogyan tud rendelni illetve milyen anomaliakat tud eloidezni (letesitesi helyek idopontok visszatorlesek kedvezmenyekkel trukkozes etc).

Ha talaltunk ilyesmit az nyilvan show stopper volt es ulhettek vissza egy kicsit kodolni. Szoval igenis nekik is van valamennyi felelosseguk.

1. Az erdőben sétálva egy lepkét megláttam,
Színes szárnyain sebesen szállt.

2. Oda se figyeltem, elkaptam hirtelen.
Színes szárnyain már nem szállt.

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

3. Verdeset szerényen,hogy nyugtassam, s megvédjem
Ujjaim hegyével ápolám.

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

4. Nem nyugszik szegényke, ezért hát mit tegyek,
Tenyerem ütését kiállá.

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

5. Hát te még mindig élsz, nem lehet kislepkém,
Hogy dögölj meg, ököllel verlek én!!!

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

[élt túl sok évet]..

Elso beszolasom az volt a projekt kapcsan hogy tan nem egy Siebel-t kene elkezdeni takolni mert ultra szopas lesz.

Ssssss ez joleszezigy volt a valasz. Ok good luck with it. Aztan elkezdtek fogyni a milliardok (igen nem milliok milliardok csak hogy aki nem volt benne az is erzekelje mekkora love egy SAP meretu Brand rendszert customizalni :D )

Azt se ertettem, hogy a mar majdnem mukodo (80%) ICDB-t amit szinten csilliardokbol fejlesztettek miert kellett legyilkolni de valoszinu ez mar politika logika nincs sok benne...

Mindezt ugy hogy korabban mar beszoptak az OSS-el

Borítékok vezetőtől az utódnak, amelyeket krízisben kell sorszám szerint kinyitni:

Boríték 1: MINDENT KENJ RÁM!
Boríték 2: SZERVEZZ ÁT!
Boríték 3: KÉSZÍTS 3 BORÍTÉKOT!

Legalább 40 éves klasszikus, de a legnagyobb multinál is pont úgy működik, mint hajdan a Porfészek MGTSz-nél.

Még egyszer kérdezem, milyen felelőssége van a bkk-nak? Jogi?
Mert ti - nagyon helyesen - tudtok pentestet csinálni, mielőtt átvesztek egy munkát, ők meg nem tudtak/akartak? Milyen törvényt sértettek meg ezzel?

Ráadásul SaaS-ban, lehet a forrást se látták, nem is érdekli őket. Kértek egy rendszert x funkcióval, megkapták, működik az x funkció. Ha hibásan működik, akkor a T javitsa ki. Kijavitotta, saján renoméját jól megtépázta a T a balhéval, ennyi a történet.

[előfeltevés:tényleg_leakelt_minden_személyes_adatot]
Jogi, ugyanis az adatvédelmi nyilatkozatukban (http://bkk.hu/apps/shop/bkk_shop_adatkezelesi_tajekoztato.pdf) önmagukat nevezik meg adatkezelőnek (4. pont).

Az 5.3. miatt ráadásul pénzügyi felelősségük is van ("A BKK az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt megtéríti.")

Ráadásul:

Az ilyen fenyegetésektől megvédendő a BKK megtesz minden tőle elvárható óvintézkedést, ennek keretében a rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen és bizonyítékkal szolgálhasson minden biztonsági esemény esetében

Innentől az üzemeltető T-re mutogatás sem áll, mert említés szintjén sem szerepelnek az adatvédelmi tájékoztatóban, sőt az 1.2-es pontban "önálló adatkezelő"-nek titulálják magukat.
[/előfeltevés]

Szerk.: T-re mutogatás kettő pont nulla (bár semmit nem jelent): a shop.bbk.hu által mutatott IPv4 cím az Invitelhez tartozik a RIPE szerint :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

pont mivel óriás multiról van szó ezért a felelősségek még inkább átláthatatlanok. nem húzok lepedőt senkire, de ha nem értek valamihez akkor a tervezéshez is megbízok szakembert pl építkezés. a kivitelezést meg rábízom egy másik szakemberre. és igyekszem annyira a közelülben lenni folyton amennyire lehet hogy tuti ne legyen gányolás. ez nem jogilag ez vagy az hanem a saját jól felfogott érdekem.

Ha meg segghülye vagyok valamihez és kiadok minden kontrollt a kezem közül akkor legalább olyan szerződést írok amiben kellő eszközök vannak arra hogy az érdekeimet és az üzembiztos működést garantálni lehessen.
Na ebben is van felelőssége a megrendelőnek.

Persze mondhatod azt hogy miért trágyadombot szállít a nagy szoftverház, de ha a trágyadomb megfelel a követelményeknek: alakra, működésre a szagról meg nem kötöttél ki semmit akkor az bizony a saját marhaságod.. hogy elfogadtad és hogy használod is (nem kevés $ért). a cég az cég: a leírt elvárt minimum követelményeket jó esetben teljesíti.

Ennek az eldöntéséhez azért ismerni kéne a specifikációt.

Az ügyfél valamit kér, a fejlesztő valamit szállít. Jó esetben amit az ügyfél kér, azt teljesíti.

Ha az ügyfél nem kért valamit, akkor elméletileg az a jó, ha a fejlesztő nem implementálja azt - viszont nem ártana felhívni a megrendelő figyelmét, hogy figyi, ezt nem így szokták.

Az is lehet, hogy az ügyfél konkrétan azt kérte, ami minden kommentelő szerint hülyeség. Persze ilyenkor is érdemes szólni, de nekem pl. volt már olyan ügyfelem, ahol elmondtuk, hogy amit kérnek, azzal mi a gond, elmondtuk, hogy ezt hogyan szokás csinálni, és annak mi az előnye, mire ők azt mondták, hogy értik, de szeretnék, ha mégis úgy lenne, ahogy kérték.

Egyébként ha nekem kéne tippelnem, azt mondanám, hogy kért a BKK egy rendszert. A T készített egy proof of concept implementációt, aztán mondjuk határidő vagy csak ostobaság miatt a BKK kitalálta, hogy hát ha már működik, akkor kiteszik élesbe.

PoC bemutatja a funkciót. A funkció az, hogy lehet jegyet és bérletet venni, és képernyőn megjelenik QR kóddal.

Mivel az igazi termék általában nem a hipp-hopp összedobott PoC foltozgatásával, hanem 0-ról megírásával (gyakran más programnyelven) készül el, ezért teljesen mindegy, hogy a PoC-ben milyen baromságok vannak.

Csak annyi a célja, hogy megmutassa, hogy az adott architektúrán az, amit kitaláltak, akár működhet is.

Már csak meg kell írni. :-)

más tartalmat társítunk akkor a fogalomhoz.

én működő de még messze nem tökéletes megoldást, te meg valami show-off [#*!?]-t nevezel ennek. egy kattintgatható statikus html lapokból álló akármi szerinted megfelelő poc egy ügyviteli rendszerhez pl?

gyakorlatilag amit említesz azt kb frontend app-oknál tudom elképzelni de ott is inkább sales demora lehet (? ha egyáltalán lehet) használni, de arra is csak vetítésnek hisz pont te írod hogy még a felhasznált tech stack se az alatta mint amit validálna: proof of concept: ez így egyben működhet, elvileg erről szól. felületnél is ha nem azzal generálod a felületet amivel később fogod, tuti nem lesz ugyanolyan..

egy kattintgatható statikus html lapokból álló akármi szerinted megfelelő poc egy ügyviteli rendszerhez pl?

Szerintem attól proof of concept valami, hogy bemutatja, hogy az adott elképzelés működni tud. Ehhez az összes kapcsolódást és architekturális elemeket használnia kell, hiszen ha nem használja ezeket, akkor nem tudja bizonyítani, hogy működik az elképzelt koncepció.

Azt feltételezem, hogy egy ügyviteli rendszer része az, hogy mondjuk egy adatbázisból kiolvasson adatokat, kilistázza, így-úgy rendszerezze.

Így, ebben az esetben nem mondanám ezt megfelelőnek.

A statikus html oldal frankó a UX és a grafikai dizájn valamint a munkafolyamatok lépéseinek bemutatására.

Hogy valós példát mondjak: volt egy feladat, időnként valami távoli szerverre feltöltött több fájlt be kellett tölteni valami adatbázisba és ezekből összeállítani különféle jelentéseket.
A PoC egy nagyon gyorsan összerakott python program volt, ami csak limitált adatmennyiséggel tudott dolgozni, lassú volt, viszont megmutatta, hogy az elképzelés működhet, 1-2 korláttal (bizonyos adatokat nem lehetett összekombinálni a bejövő fájlok adattartalma miatt).
Egy csomó edge case, pl. hibás bemeneti fájlok, hiányzó bemeneti fájlok, adatismétlés, hálózati hiba, rossz jelszó, ez-az, nem volt kezelve benne.
A végső megvalósítás úgy emlékszem, C++-ban született meg, és mindenféle trükkös hiba esetekre is felkészült.

Olyan példám is van, ahol a PoC nem tárta fel, hogy gond lesz:
Egy csapat készített egy PoC-t: az előre eltervezett architektúrán végrehajtotta a feladatot: egy cég adatainak betöltése Oracle adatbázisba, aztán egy weboldalon az adatok kereshetősége.
Ment.
Az ügyfél kitalálta, hogy akkor ez menjen élesbe. Úgy számolták kell egy kis faragás, hogy több céget kezeljen, de a kód nagy része kész.
Csak aztán kiderült, hogy a példa cég adatmennyiségével elbírt ugyan, de más cégek nagyobb adatmennyiségét több, mint 24 óra betölteni, és egyébként a cucc nem skálázódik, szóval a kereső weboldal egyszerre az elvártnál kb. 2 nagyságrenddel kevesebb embert tud kiszolgálni.
Egy darabig vergődtek, de aztán megértették, hogy új architectúra kell.

És számos olyan példát is láttam, ami hasonló volt ahhoz, amit te gondolsz: a PoC nem volt más, mint a végleges architektúrán a végleges programnyelven valaki összerakott gyorsan egy megoldást, ami egy-két esetet korlátozott adatmennyiséggel végigvitt.
A gond mindig akkor volt, amikor a megrendelő azt hitte, hogy akkor ezzel kész is van a fejlesztés, mehet élesbe és eladhatjuk az elektronikus bérleteket vagy akármit a publikumnak.
Közben meg ha a fejlesztőnek, architectnek azt mondod, hogy PoC lesz, akkor arra mennek rá, hogy hamar kész legyen a cucc, nem arra, hogy minden NFR-t kielégítsen és minden speciális esetet is kezeljen.
Szóval kb. simán el tudom képzelni, hogy pont ez történt a BKK-nál is.

Úgy gondolom, hogy a BKK-s PoC-nek pl. tartalmaznia kellett valami adatbázist, hogy a felhasználók regisztrálhassanak, tartalmaznia kellett valami működő fizetési megoldást, hogy a felhasználók megvásárolhassák a jegyet vagy bérletet, és végül meg kellett jelenítenie a jegyet/bérletet, úgy, hogy a felhasználó felmutathassa ellenőrzésre.
Az, hogy az adatbázisban jelszót tárolnak, vagy hash-t pl. az szerintem egy olyan részlet, amit a PoC után, a rendes implementáció közben kellene pl. egy IT security-höz értő architectnek definiálnia.

Remélem, érthető, hogy mit próbálok magyarázni

" Az, hogy az adatbázisban jelszót tárolnak, vagy hash-t pl. az szerintem egy olyan részlet, amit a PoC után, a rendes implementáció közben kellene pl. egy IT security-höz értő architectnek definiálnia."

Nagyon remelem, hogy nem sullyedt az informatika olyan szintre, hogy ehhez architect kelljen.

Ez a szint ami a T-nel produkaltak az valahol egy retardalt fogyatekos junior php24 ora alatt programozo alatt van joval. A mostani altalanos iskolai oktatasban levo programozasban magasabb a szint mint amit ebben a PoCben produkaltak.

A megrendelőnek eleve elő kell írnia az iparági standardok szerint fejlesztést (nem csak a végterméknek, hanem a fejlesztés folyamatának is ennek megfelelően kell történnie).
Ezen felül teljes kártérítési felelősségre kell szerződnie (azaz ha a vállalkozó nem tartja be az általa vállaltakat, akkor akár a megbízási összegnél nagyobb kárt is leverhet rajta a megrendelő - mivel a rendszer éves forgalma több, mint amibe kerül a rendszer, így ez valós lehetőség) és/vagy kötelezően elő kell írni (közvetlenül vagy közvetve) a független auditálást. Persze ha csak az első eset van, akkor is a vállalkozó elemi érdeke, hogy saját hatáskörben megbízzon egy független auditort. Mert ha ezt nem teszi, egy perben nem tudja könnyen bizonyítani, hogy jól csinálta a dolgát, és egy milliárdos kártérítésbe simán csődbe is mehet a cég.

Azért "végigkattintani" illik. És ha egy jelszóemlékeztető levélben visszakapom a saját plaintext jelszavamat, akkor aki kicsit is hozzáértő az sikít, hogy ezt így nem szabad élesbe engedni. A bkk oldaláról vagy nem volt ilyen, vagy volt csak felülbírálták a véleményét felülről. Szóval itt egyértelmű a bkk felelőssége.

Másrészt meg az ő nevük alatt, az ő domainjükön megy a rendszer, és az ő termékeiket veszik meg rajta és ebből nekik lesz bevételük. Szerintem teljesen logikus, hogy a megrendelő akár 3. féllel is ellenőrizteti a rendszer biztonságát.

Szerintem te még mindig kevered a jogi felelősséget (ami itt nem nagyon merülhet fel) a szakmai felelősséggel. HA(!) ért a megrendelő hozzá, akkor csinálhat penetration test-et, de nem köteles. A megrendelőnek annyi a dolga, hogy kipróbálja a kért funkciók működnek.

Az a hulladék amit kiadott a T, az az ő felelőssége. Ki is javitotta, igy szakmailag nincs mit pörögni a dolgon a tovább, hogy ez mekkora arcvesztés nekik (a T-nek, nem a BKK-nak) az már egy másik kérdés.

Szerintem az általam _a_ _bkk-nak_ megadott kezeléséért a bkk a felelős jogilag. Én - tudomásom szerint - a bkk-nak adtam meg az adataimat azért, hogy a bkk szolgáltatását megvehessem a bkk-tól. És innen kezdve a kutyát nem érdekli, hogy az nagy té vagy a babámfasza bété fejleszti vagy üzemelteti azt a szarhalmot, a bkk felelős érte, pont.

Persze, beperelheted őket, ha téged kár ért, ők meg majd behajtják a T-n. De én nem kárról beszéltem, hanem arról, hogy attól még, hogy a megrendelő nem ért hozzá és átvesz egy könnyen törhető, de működő rendszert, azért jogilag nem felelős. Nem kell hozzá értsen, nincs törvény, ami előirná neki, hogy márpedig pl. penetration test-et kellene neki csinálnia rajta.

"Nem kell hozzá értsen, nincs törvény, ami előirná neki, hogy márpedig pl. penetration test-et kellene neki csinálnia rajta."

Pedig kellene hogy legyen ilyen előírás.
A bkk alapvetően egy monopol szolgáltató, nem igazán tudod kikerülni a szolgáltatását (*), tehát a "piacon megbukik ha szar" elv semmiképp sem érvényes rá.
Márpedig az ilyen monopol/oligopol piacokon igenis komoly előírásoknak kellene megfelelni szerintem, amiben az is benne van, hogy egy ilyen lyukas szart nem teszünk production-be.
Akkor se ha kezdődik a vizes vb...

Jövőre már él az EU direktíva, akkor a hasonló baklövéseknek már következményei lesznek. A következmények nélküli bénázás napjai meg vannak számlálva.

"The following sanctions can be imposed:

- a warning in writing in cases of first and non-intentional non-compliance
- regular periodic data protection audits
- a fine up to 10,000,000 EUR or up to 2% of the annual worldwide turnover of the preceding financial year in case of an enterprise, whichever is greater (Article 83, Paragraph 4)
- a fine up to 20,000,000 EUR or up to 4% of the annual worldwide turnover of the preceding financial year in case of an enterprise, whichever is greater (Article 83, Paragraph 5 & 6)"

már ha végrehajtják még akkor itthon a brüsszeli azaz luxemburgi bírósági ítéleteket...

Nem kell hozzá értsen, nincs törvény, ami előirná neki, hogy márpedig pl. penetration test-et kellene neki csinálnia rajta.

Nem. Olyan törvény van, ami az "elvárható gondosság" nevű felelősségi kört telepíti a cég vezetőire. Ennek meg lehet felelni úgy, hogy ért hozzá az illető és a saját szaktudására alapoz, vagy úgy, hogy a felelősséget továbbdelegálja. Ez utóbbi ugye lehet egy megfelelő beosztott/aligazgató megbízása a feladattal, vagy egy külső vállalkozás felkérése. Az biztosan nem az elvárható gondosság, ha semmit nem tesz, és vakon bízik benne, hogy majd nem lesz gond. Szóval, multis szleng szerint: a főnöknek védenie kell a seggét, kell a papír.

"A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni."

"A BKK sajtóosztálya a T-Systems felé mutogatott, hogy őket kérdezzük a rendszer működéséről, el is küldtük nekik a kérdéseinket, és őszintén kíváncsiak vagyunk rá, hogy mennyi pénzből, milyen határidővel dolgoztak, és hogy ők maguk milyen színvonalúnak találják ezt a munkát."

Nah itt az első "incidens". Úgy tűnik tényleg "Komplex probléma a hazai informatikai biztonság kérdése".

( tigrincs | 2017. 07. 17., h – 12:55 )

Az Oyster tul egyszeru es mukodo megoldas volt ahhoz hogy foglalkozzanak a lemasolasaval. Meg a vegen elegedetten hasznalnak pff...

Tudja fene. Errefele eleg sok helyen hasznaljak mind a harom megoldast.

QR kodos e-ticket, papir alapu magnescsikos, amit elol bedugsz, felul meg kijon, meg RFID/NFC a plasztikkartyanak, amit csak lecsippantassz.

Mindez egy keszuleken.

Nem lehet, hogy otthon is egy ilyen integralt rendszert tesztelnek/keszitenek, es ennek az elso allomasa kerult ki elesbe most?

Mar ugye csak kerdem, hogy pl. NFC keptelen telefonnal hogyan szeretnel "okosjegyet" hasznalni, ha nem QR koddal?

Csak kerdem, ha a reptereken megfelelo a QR kodos beleptetes, akkor neked miert is "felesleges okorkodes" ez a BKK reszerol?

egy reptéren napi 1x vagy max, és amúgy sorban állsz (pl. screening miatt)

egy metrólejáraton 0.3 sec alatt akarsz átjutni. Gondolj bele, ha csak 1 másodperc lenne egy QR kód leolvasása, validálása, és a zöld fény felvillantása. Mekkora sorok lennének?

van egy futó projekt az oyster lemásolására, akkor miért költünk egy másikra is?

"NFC keptelen telefonnal hogyan szeretnel "okosjegyet" hasznalni, ha nem QR koddal?"

Ez tényleg nem értem miért probléma. Ennyi erővel mondhatnánk, hogy nem mindenkinek van okostelefonja, ami alkalmas a QR kód megjelenítésére. Kisebb réteg, de létező. Ők is utaznak most valahogy :) Nekik most alternatívaként a klasszikus jegy van, NFC-seknek is lehet. De valójában erre sincs szükség. Miért nehéz elképzelni azt, hogy az NFC-s beléptetés alapja egy szimpla kártya, ami helyettesíthető NFC képes telefonnal?

A QR kód pedig azért felesleges ökörködés, mert már eleve volt terv korábban egy másik rendszerre (lásd rigo kártya). Tehát ez egy felesleges köztes lépés volt. Ez olyan, mint amikor nekiállsz főzni, és amíg készül a kaja csinálsz egy szendvicset. Csak épp ez a szendvics marha sokba került, és el is vette az ember étvágyát.

Ráadásul látjuk a gyakorlatban, hogy lassú egy fő ellenőrzése qr kóddal. Reptereken más a helyzet, ott egy beszállásra van egy csomó idő szánva.

"Nem lehet, hogy otthon is egy ilyen integralt rendszert tesztelnek/keszitenek, es ennek az elso allomasa kerult ki elesbe most?"

Egyébként simán lehet, de tudod, arrafelé van erre pénz, errefelé meg nincs. Errefelé egy jó rendszert kellett volna építeni.

NFC mentes okostelefonosként szerintem sokkal nagyobb az a réteg, akinek nincs okostelefonja vagy egyáltalán mobilja, mint az nfc-mentes okostelefonos. Még milennial szoftverfejlesztő ismerőseim közül is nem egy szaladgál butatelefonnal, nem hogy az öregebbek. És akkor ott van még egy olyan réteg, akinek van okostelefonja, de nincs mobilnetje, náluk is ki van lőve a mostani qr kódos rendszer.

egyszer letenni a kulcsot a telefonra vs folymatos online kapcsolat baromira nem ugyanaz

ha Átlag Józsi mobilnet nélkül is ragaszkodik az e-jegyhez, ráadásul otthoni és munkahelyi wifi-hozzáférése sincs, akkor még mindig beülhet a helyi mcdonalds-ba kulcsot generálni az ingyenwifin

Jó és most van olyan megoldás, hogy folyamatos kapcsolat nélkül működjön? Nincs. Én ezt írtam. Akkor meg miről is beszélünk?

A linkelt hsz meg arra vonatkozott, hogy ezzel csak tolod a problémát, de nem oldod meg. Mert most nem magát a qr kódot fogják megosztani, hanem az azt generáló kulcsot. A kulcs alapú OTP ugyanis nem erre lett kitalálva. Egy banki loginnál az eszköz gazdája érdekelt abban, hogy más ne tudjon belépni a felhasználójával, ezért védeni fogja a kulcsot.

Itt viszont pont, hogy nincs bizalmi kapcsolat a felhasználó és a szerver között, csak a szolgáltató érdekelt abban, hogy más ne használja a kulcsot, a felhasználó meg abban, hogy egy áráért minél több bérletet kapjon. Magyarul átmásolja a kulcsot az asszony telefonjára, és hajukra kenhetik az amúgy divatos, csak épp másra való security technológiát.

Mi ez a telefonos baromsag es miert nincs ertelme? Biztos, hogy nincs ertelme? Atgondoltad az osszes use-case-t, es az alapjan allitod, hogy soha, semmilyen korulmenyek kozt nem erte meg erre penzt kiadni? Ezt a rigo kartyat megis hogy szeretned okostelefonnal hasznalni, ha abban nincs NFC? Csak nem QR koddal? Biztos, hogy az integralt jegykezelo automatakon nem lesz optikai leolvaso kifejezetten erre a celra, hanem fel ev utan megy a levesbe az egesz? Egyaltalan, tudnad nekem linkelni a BKK eziranyu strategiajat (nem valami marketing anyagot), amibol a sommas velemenyedet leszurted?

Nincs értelme, mert a tárca helyett, amiben ott a bérlet és az igazolvány, most vehetik elő az emberek a telefont és a tárcát, mert kell az igazolvány. Hatalmas áttörés! Honnét veszed, hogy okostelefonnal akarnék használni egy nyomorult bérletet? A rigo meg sokkal több annál, hogy papír helyett kártyát/telefont mutogatsz, a lényege a díjszabás.

"Nincs értelme, mert a tárca helyett, amiben ott a bérlet és az igazolvány, most vehetik elő az emberek a telefont és a tárcát, mert kell az igazolvány."

Biztos, hogy nem tervezik ennek is a modernizalasat is, es ez csak egy atmeneti allapot?

"Honnét veszed, hogy okostelefonnal akarnék használni egy nyomorult bérletet?"

Honnan veszed, hogy en nem? Sot, tovabb megyek, meg a telefont se szeretnem elohalaszni, sokkal jobb lenne, ha az Apple Watch lenne hasznalhato erre.

"A rigo meg sokkal több annál, hogy papír helyett kártyát/telefont mutogatsz, a lényege a díjszabás."

Hurra, de ez most hogy jon ide? Arrol beszelgetunk jelenleg, hogy van-e ertelme a QR kodos "bohockodasnak" vagy nincs.

Londonban pl. a buszokon ügyesen meg tudták oldani, hogy csak NFC-s csippantás van. Bankkártyával, telefonnal, oyster kártyával lehet csippantani, ki mit szeret használni.

Plusz ott a sofőr, ha valakinek van egy papír vonatjegye vagy mondjuk egy olyan igazolványa, amivel ingyen utazhat, a humán intelligencia megoldja.

csak a boardinghoz kell igazolvany

Az utolso 10-bol 8 beszallasomnal nem kellett sem utlevel, sem igazolvany. 3 evvel ezelott kollega Becsbol eljutott Gibraltarig a felesege utlevelevel, csak ott akadt fent, leven nem schengeni ovezet es ki kellett nyitni ellenorzesre :)

--
L

Egyszeri beléptetésnél lehet ellenőrizni egy központi szerverrel, hogy használták-e már, és ha igen, akkor nem engedi be többet. BKV bérletnél meg egy hónapig/hétig/napig folyamatosan érvényesnek kell lennie, maximum gépi tanulást engedhetsz rá a logokra, hogy adott felhasználási minták esetén hányan használhatják ugyan azt a bérletet.

Ennek ebben a formában biztosan nincs értelme, legalábbis közpénz ezért semmiképp se érte meg adni - kivéve azoknak, akik 8-9-10 számjegyű összeget tettek zsebre és megiratták egy pistikével 1 hét alatt.

Ez a sw kb. 1-2 nap alatt megbukott: nem validálják server oldalon az input, plaintext tárolnak jelszót, azt plaintext elküldik, simán lenyúlható a teljes adatbázis, és még a telefonos gui is szar.

Ez az a szint, amit egy "bevezetés a webprogramozásba I" tárgyánál jóindulattal talán elfogadnak kettesre, de fölötte karó mindenhol, már ha a tanár kicsit is ad magára.

Ezt a rendszert be kell csukni, ki kell dobni, és - ha van értelme - hozzáértőkkel újraterveztetni és újrairatni. Ez valószínűleg olcsóbb és biztonságosabb, mint ha egy sort is meghagysz abból a kódból vagy tervből, ami ilyen.

Ez a RIGO szép lenne - ha már 5+ éve működne! 2017-ben már tényleg ne kezdjünk el még egy meg még egy ilyen-olyan kártyát rásózni az emberekre! Telefonos app - ugyan modernebb lenne NFC-vel, de a QR kódot is lehet jól használni, Milánóban pl. qrvajól működik.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Ehh. Az elektronikus jegynek nem az lenne az értelme, hogy menőn a telefonod lóbáld, hanem hogy pl ne kerüljön 3-4-szer annyiba egy sok átszállásos utazás, mint kétszer akkora távot lemetrózni egy jeggyel. Hogy ugyan azt a bérletet meg napijegyet mostantól telefonon mutogathatom ezen semmit sem segít.

Ha értelmesen csinálják, és az infok alapján van rá remény, akkor plusz kártya csak annak kell, akinek nincs új személyije vagy diákigazolványa, ha meg nem vesz bérletet, akkor londoni mintára mehet a paypass kártya, napi limittel.

Nem vagyok elég öreg, ráadásul bevándorló budapesti. Nem az a lényeg, hogy mi volt, vagy hogy mit lehetne, a lényeg, hogy nincs, RIGO-val meg lesz. Olyan mondjuk szerintem sosem volt, hogy bevittem egy marék használt jegyet, hogy "csókolom, többet utaztam mint gondoltam, kérem vissza a napijegy ára feletti részt".

Halkan kerdem. A MAV mar letezo infrastrukturajaval hogy szeretned osszeintegralni a BKV epp kiepulo felben levo rendszeret?

Nem ertek hozza, de nekem logikusnak tunik az elovarosi vonatok integralasa a varosi tomegkozlekedesbe. Ha szerinted ez hulyeseg es/vagy a MAV-nak kellene lecserelnie a mar meglevo QR kodos rendszeret, erdeklodve varom, hogy miert is.

Most már nagyon idegesitő kezd lenni, hogy minimális gazdasági hozzáértéssel vívod a szélmalomharcod.

A MÁV QR kódos rendszere 2013 elején indult. Az akkor beszerzett telefonok legkésőbb jövőre nullára lesznek írva. Az újak beszerzésénél már lehet NFC képeset venni.

Persze ha vadiúj nem NFC-s telefonokat kellene lecserélni, még az is mindig SOKKAL olcsóbb lenne, mint TIZENSOKEZER eszközön változtatni, potenciálisan hónapokkal tovább tolva a rigo bevezetését.

Mostmar nagyon idegesito kezd lenni, hogy kotekszel :)

Latod, en csak annyit mondok, hogy ez van, a MAV-nak ott a QR kodos rendszere, 2013-ban indult, tehat valamilyen szinten tesztelve van mar. Nem tudom, hogy mennyi ertelme lenne ezt hirtelen lecserelni egy olyan rendszerre, amivel semmilyen tapasztalatuk nincs (ld. post). Tudod, csak az basz fel, hogy ebben a topicban csak a mocskolodas, a hulyezes, a lefitymalas jott, de abba egyikotok se gondolt bele, hogy mi van, ha ez a rendszer nem csak "villantani kell a vizes VB-re", hanem esetleg egy nagyobb, komplexebb megoldas elso hirnoke.

Termeszetesen nem latok bele a BKK es a MAV kozti szerzodesekbe, nem tudom milyen cegkozi strategiaval operalnak, de az a hangnem ami itt lemegy az egyreszt gusztustalan, masreszt a rossz szandekusag es egyaltalan, a gondolkozas teljes hianya valami verlazito.

Foleg amikor emberek tenyek hianyaban sommasan kijelentik, hogy az "egesz rendszernek semmi (ismetlem SEMMI) ertelme".

Hulyezz le nyugodtan, szerintem kettonk kozul nem en vagyok az :)

Nem akarom lecserélni. Talán képes két applikáció futni egy telefonon a kalauzoknál.

Gazdasági hozzánemértést nem tekintem úgy, hogy hülye lenne a másik, szóval köszönöm a minősítést, ennek kacifántos körülírása helyett esetleg használhatnád a googlit. Például az nemzeti egységes jegyrendszerről olvasgatni. Főleg mert engem nem érdekelt annyira, így még az is lehet, a végén azt találod benne, hogy a qr kód a világ legmenőbb dolga, ezért mindenhol az lesz.

Ez meg a rigo kivitelező neve: Scheidt&Bachman. Hasonlóképp úgy ajánlom, hogy csak átfutottam a honlapjukat, lehet találsz rajta qr kódos megoldást, hogy az orrom alá dörgöld, ha már ennyire lelkes vagy.

Lehet. De nem az a kérdés, hogy technológiailag megoldható-e, hanem hogy érdemes-e erre pénzt áldozni. Mint már többször leírtam, a bkk-nál tizensokezer eszköznél kellene pluszban qr-kód technológiát venni, a mávnál meg az elővárosi vonatokra az amúgy is csereérett telefonok helyett nfc-set venni. Nagyságrendi különbség, lehet nem is egy. Lehet x éve még én is ráizgultam volna, hogy "uu legyen qr kód is", csak mióta havonta kisebb vagyonokat fizetek az államkasszába, kevésbé vagyok toleráns az értelmetlen pénzszórással szemben.

Gyorsan utananeztem, az OBB (Osztrak vasuttarsasag), a DB (Nemet vasuttarsasag) + UK ben a vasuttarsasagok mind QR kod alapu e-ticket rendszert hasznalnak (tobbi orszagnak most nem nezek utana). Mostmar csak azt kene kideriteni, hogy van-e valami EU direktiva az e-ticket rendszerek atjarhatosagarol (a vasut, es a tagallamok kozt integralt vasut az EU-nak amugyis strategiai fontossagu).

Ha az EU azt mondja, hogy a vonatokon marpedig QR kodos e-ticket kell, akkor most a MAV kezdjen el ketfajta megoldast hasznalni (hello belepteto kapuk az orszag teruleten szetszorva), vagy egyszerubb, ha a BKV keszul fel mindketto kezelesere a MAV-hoz kepest toredek helyszinen?

Mielott azzal jossz, hogy "dehat nincsenek is belepteto kapuk", gyorsan tedd hozza meg azt, hogy "meg".

Ember! Te jársz tömegközlekedéssel vagy vonattal? Én elég gyakran.
A vonaton nagy tömegben a kalauz általában sz*rik a QR-kódra, legalábbis simán megcsinálja, hogy csak az egyiket olvassa le, és a többit elhiszi. A vonat nagy tömege meg reggelente a BKV ritkább járatainak felel meg. Már az NFC-t is csodálni fogom, ha bírja pl. az Örs vezér terén reggel a metrónál, de a QR-kód-olvasókat kb. 1 nap után döntené le a népharag.

En azt probalom megfejteni, hogy a BKK miert rukkolt elo a QR kodos megoldassal. Szamomra a "villantanak az uszo VB-re" nem megfelelo valasz. Szerintem ennel logikusabb ervek vannak a hatterben, amit az egyszeru forumozo ugy nez ki nem igazan lat at. Szeretnek a vegere jarni a felinformaciok alapjan, hogy vajon tenyleg csak elszortak csilliardnyi penzt a nagy semmire, vagy esetleg egy komplex, integralt, europai szintu megoldast szeretnenek kihozni belole a vegen (implementacios hibak meg mindig nem erdekelnek; see the big picture; think outside of the box, ahogy a muvelt angol mondana).

"En azt probalom megfejteni, hogy a BKK miert rukkolt elo a QR kodos megoldassal."

Az a baj, hogy nem ez jött le abból amit írtál. Illetve ha ezt próbálod, akkor miért a QR kód mellett ágaskodsz ahelyett, hogy konkrétan ezt fejtegetnéd. Ráadásul itt pont hiába keresed a választ, amennyire tudom senki nem érintett közvetlenül az oldalon az ott folyó ügyekbe, úgyhogy max mindannyiunknak véleménye van az esetről, konkrétumokkal meg azzal szolgálhatunk, amit te is olvashatsz máshol.

"Szamomra a "villantanak az uszo VB-re" nem megfelelo valasz."

Szíved joga véleményt formálni erről a kérdésről, én is csak azt tudom elmondani, hogy mit érzek a dologgal kapcsolatban. Az, hogy mi a logikus, és hogy mi történik ténylegesen, annak pedig nincs egyáltalán köze egymáshoz. Főleg nem ebben az országban.

"vagy esetleg egy komplex, integralt, europai szintu megoldast szeretnenek kihozni belole a vegen"

Lehet, hogy ezt akarják, de erre nincs pénz ebben az országban. Csak a fővárosi tömegközlekedést tekintve volna egy csomó más hely, ahol arra a pénzre nagyobb szükség van, amit erre kidobnak. Tudod, én ha egyedül dolgozom egy projekten, tudom a határaimat, és kompromisszumokkal állok neki a fejlesztésnek. Te meg azt mondod, hogy legyen ez is, meg az is, amikor se pénz, se tehetség nincs hozzá (látszólag?)

> Az a baj, hogy nem ez jött le abból amit írtál.

Szerintem egyertelmu voltam.

> senki nem érintett közvetlenül az oldalon az ott folyó ügyekbe, úgyhogy max mindannyiunknak véleménye van az esetről

Igazabol ez haborit fel igazan. Fogalom nelkul mocskolodnak emberek, anelkul, hogy belegondolnanak a valoszinu okokba.

> Az, hogy mi a logikus, és hogy mi történik ténylegesen, annak pedig nincs egyáltalán köze egymáshoz. Főleg nem ebben az országban.

Nyilvan, ha ilyen attitud uralkodik a mediaban, forumokon, akkor minden szarul fog festeni. Ha vagdalkozas es fikazas helyett az emberek elkezdenenek gondolkodni, lehet mas lenne a hangulat.

> Lehet, hogy ezt akarják, de erre nincs pénz ebben az országban. Csak a fővárosi tömegközlekedést tekintve volna egy csomó más hely, ahol arra a pénzre nagyobb szükség van, amit erre kidobnak.

Nem ismerem a megterulesi mutatokat, adnal forrast?

Szerintem itt a többség nem mocskolódik, csak szimplán a tényeket közli.

Amikor van készülőben egy rendszer, és nincs pénz arra, hogy menjen a légkondi, hogy a hármas metró ne életveszélyes legyen, akkor nem állunk neki egy qr kódos rendszert csinálni. Ez nem mocskolódás, hanem logikus érvelés. Még ha nem is értesz vele egyet.

Az sem mocskolódás, hogy nevetünk a rendszer nyilvánvaló és fájdalmas hibáin. Ehhez a részéhez viszont pont értünk, és nem fogalmatlanul alkotunk véleményt.

Ha az emberek elkezdenének gondolkodni... Gondolod, hogy attól jobb lesz a helyzet. Szerintem pont akkor döbbennének rá többen, hogy igen nagy gondok vannak. Na de ne keverjük ide a politikát. Nem kell ahhoz agytrösztnek lenni, hogy belássuk, hogy ha a vadiúj metrók lerohadnak heti szinten, akkor a pénzt nem egy új, harmadik fajta jegyrendszer bevezetésére kellene költeni, ráadásul nem olyanra, aminek nyilvánvalóan bizonyított hibái vannak.

"Ha az EU azt mondja, hogy a vonatokon marpedig QR kodos e-ticket kell"

Nem mondja.

"akkor most a MAV kezdjen el ketfajta megoldast hasznalni"

A máv qr kódot használ.

"(hello belepteto kapuk az orszag teruleten szetszorva)"
"Mielott azzal jossz, hogy "dehat nincsenek is belepteto kapuk", gyorsan tedd hozza meg azt, hogy "meg"."

Itt mire gondolt a költő?

"vagy egyszerubb, ha a BKV keszul fel mindketto kezelesere a MAV-hoz kepest toredek helyszinen?"

Te valami alternatív valóságban élsz, hogy neked a bkv a töredék helyszín a máv _elővárosi_ vonalaihoz képest?

> Nem mondja.

Pedig a tobbi orszag peldajabol ugy nez ki, hogy megis mondja.

> Itt mire gondolt a költő?

me'g

> Te valami alternatív valóságban élsz, hogy neked a bkv a töredék helyszín a máv _elővárosi_ vonalaihoz képest?

Szoval akkor a MAVnak legyen egy elovarosi NFCs rendszere, meg legyen egy QR kodos rendszere az orszag tobbi reszere? Eszednel vagy?

"Szoval akkor a MAVnak legyen egy elovarosi NFCs rendszere, meg legyen egy QR kodos rendszere az orszag tobbi reszere? Eszednel vagy?"

Többször is leírtam, hogy mit akarok, ha ennyi idő alatt nem jutott át a tűzfalon, akkor feladom, további jó élevezkedést a qr kódos okostelefonra.

Nem, en ebbe kotottem bele:

> ... ráadásul semmi értelme az egésznek. Bérlet helyett telefont vehetek elő a személyi mellé. Ennek minimális értelme pont, hogy jegyeknél lenne, nem bérletnél, hirtelen eszembe jut, hogy nincs jegy/lejárt a bérlet, megveszem egy útra, és kész, még azonosítással sem kellene szórakozni.

https://hup.hu/node/154459#comment-2121154

Itt mar sok volt olvasni az itteni kozosseg amokfutasat, ahelyett, hogy megprobalnanak rendszerben gondolkodni.

Ne vedd fel a Dabóczi pofátlan stílusát, ez a szál már rég nem erről szólt. Hanem arról, hogy nem sikerült felfognod azt az eszmefuttatást, hogy az ELŐVÁROSI kallerek olyan telefont kapjanak, amivel a qr kód MELLETT a rigot IS tudják majd olvasni. Talán a saját mondandód mantrázása helyett szánj időt néha az értő olvasásra is.

Amit te csinálsz, az nem rendszerben gondolkodás, hanem wishful thinking a pénzügyi oldal és gazdasági racionalitások teljes sutba dobásával.

Teny, hogy

- a MAV QR kodot hasznal 2013 ota
- nyugatabbra a vasuttarsasagok (es nemely tomegkozlekedesi vallalat) mind QR kodot hasznalnak
- a BKK-nak meg nincs e-ticket rendszere, csak terveznek egyet bevezetni, ami valoszinuleg RFID/NFC-re epul (RIGO)
- a BKK bevezette a QR kodos megoldast
- a QR kodos leolvasas ugyanolyan gyors, mint az NFC/RFID
- reptereken QR kodot hasznalnak
- az EU a kulonbozo kozlekedesi megoldasok konvergenciaja mellett tette le a voksat

A maradekot logikazd ki.

> ráadásul a fele értelmetlen illetve nem világos, hogy miről beszélsz..

Szolj, ha meg mindig nem.

Te csak latszolag nem erted a komplex rendszerek mukodeset.

Viszont legyszives mutass mar ra arra, hogy hol kampanyoltam az NFC/RFID _ELLEN_?! Az egesz rohadt topicban arrol van szo, hogy sirtok, mint a furdos kurvak, hogy "jajj kidobott penz, meg jajj vizesvebere villantani, megy a levesbe az egesz fel ev mulva", aztan amikor probalom megmagyarazni a mogottes logikat, hogy ez integralt rendszer lesz a vegen (tenyekkel megtamasztott) _valoszinuleg_, akkor meg nekem estek, mint tot az anyjanak.

Ertem en, hogy faj a kognitiv disszonancia, meg nem lehet megint nagyokat rugni a fovarosba/BKK-ba/egyaltalan az orszagba, de talan sokkal tobbre jutnank, ha allando fikazas helyett belegondolnatok a mogottes indokokba, es nem rogton a rosszat felteteleznetek. Van eleg rossz a vilagban anelkul is, nem kell meg tobb mondvacsinalt problemat generalni.

Te a QR mellett kampányolsz, hogy a BKV-nak azt (is) kellene kezelnie, mert a MÁV…
De nem, nem kell kezelnie. Ha a MÁV kezelni akarja az NFC-t, megoldja. De ha a BKV-nál az NFC-s rendszer bevezetése után QR-t is akarnak, akkor azt mindenhol el kell fogadni, azt pedig tényleg ajánlom megnézni, mi van reggel pl. az Örs vezér terén. Egy általában QR-rel működő rendszert egyszerűen elmosna a népharag, én az NFC-sben is kételkedek, hogy emberi sebességű lesz.

Tehát az NFC-s rendszer bevezetése _után_ a QR-kódosnak egyszerűen nincs helye.

(És igen, kidobott pénz: havi 22-25 millió. Ez alaphangon 3000 teljes árú havi bérlet ára. Feleslegesen. Mert ezt a rendszert aztán nem integrálják sehová, megy a levesbe.)

> Te a QR mellett kampányolsz, hogy a BKV-nak azt (is) kellene kezelnie, mert a MÁV…

Ertelmezd mar legyszi amit irok. En nem kampanyolok mellette, hanem indoklom, hogy miert is vezethette be a BKK ezt

> Egy általában QR-rel működő rendszert egyszerűen elmosna a népharag, én az NFC-sben is kételkedek, hogy emberi sebességű lesz. Tehát az NFC-s rendszer bevezetése _után_ a QR-kódosnak egyszerűen nincs helye.

Remek erveles. Esetleg probaltal mar ilyet, mert en nem egyszer utaztam QR koddal vonaton, es semmi ilyesmi nem volt. Se a belepteto kapunal nem volt fennakadas, se az ellenorrel. De nem veletlen linkeltem a videot a belepteto kapurol, gyakorlatilag megallas nelkul lehet atsetalni rajta. Ha neked ez nem eleg gyors, akkor nem tudom, legyen gondolatolvaso a kapu, vagy mi?

> Mert ezt a rendszert aztán nem integrálják sehová, megy a levesbe

Ugyan tevedhetek is. De en ezt nem tartom valoszinunek.

"Esetleg probaltal mar ilyet, mert en nem egyszer utaztam QR koddal vonaton, es semmi ilyesmi nem volt."
Rendszeresen. És amióta egyre többen, a kalauzok egyre inkább nem tökölnek az összes jegy leolvasásával.
És mégegyszer: a vonat nem tömegközlekedés. Szerintem egy nap nem utazik annyi ember az országban vonaton, mint csak a 2-es vagy 3-as metrón.

"De nem veletlen linkeltem a videot a belepteto kapurol, gyakorlatilag megallas nelkul lehet atsetalni rajta"
Te, marketingvideót én is tudok csinálni, bár én figyelnék, hogy a háttérben ne látszódjanak azok az emberek, akiknek láthatóan lassabban megy a dolog, mint a begyakorolt „színésznek” :D

1. Ezt pont en irtam nekes, hogy miota :)
2. Alairt szerzodesek vannak az europai fejlesztesi bank es egy nemet ceg fele. Az tobb honap csuszast okozott, hogy az e szemelyit belevegyek, mert a banknak is jova kellett hagynia. Biztos, hogy rfidre epul.
3. Sajnos. Haromhavonta egy uj busz araert. Es kb te vagy itt az egywtlwn, akinwk egyetelmuen tetszik.
4. Hurra. Papirberletet felvillantani is. Ja nem, mert ott a tokban egybol mellette a szemelyi.
5. Reptee tovabbra is egyszeri beleptetes, a berlet meg nem.
6. A linkelt dokumentumban a qr betukapcsolat egyszer sem szerepel. Koszi.

7. Amit tovabbra is basztal megtenni, az a gyarto honlapjanak atnezese, illetve a nejp-nek valo utana nezes.

Gazdasagi indokot meg tovabbra sem tudsz hozni tobb szazmillio elbaszasara, illetve alairt szerzodesek felbontasara a qr kod miatt.

1. Es? Az informacio, az informacio. Bizom benned annyira, hogy ebben a kerdesben bamondasra is hiteles forraskent tekintsek rad
2. Azert megneznem azt a szerzodest, itt mar jobb biztosra menni
3. Mi tetszik nekem?
4. valahol vagy elcsusztal a szamolassal, vagy nem ertem
5. nem tudom, en a buszra is csak egyszer szallok fel, meg a metrora is
6. Ja, nem tudtam, hogy ennyire keptelen vagy konkret dolgoktol elvonatkoztatni, es a mogottes folyamatokat latni

7. Minek? gelei mar utananezett. Nem akarok kocsog lenni, de most neked kene huznod erre valamit, mert a "lehet" az nem kielegito.
https://hup.hu/node/154459#comment-2122015

Gazdasagi indok arra, hogy miert is jo egy europai integralt rendszerben lenni? Hmm...

Fentebb kifejtettem a hivatkozásodra válaszolva, szerinted nem kontextusban: a QR-kód KURVA LASSAN KEZELHETŐ az NFC-hez képest. Ez tény.
Az EU pedig nem mondja meg, hogy milyen módon kezeljenek jegyet közlekedési vállalatok. (Ha szerinted igen, akkor neked szólt az Állítsuk meg Brüsszelt! kampány, viszont eme célközönséggel felesleges vitatkozni.)

https://hup.hu/node/154459#comment-2121738

> Az EU pedig nem mondja meg, hogy milyen módon kezeljenek jegyet közlekedési vállalatok. (Ha szerinted igen, akkor neked szólt az Állítsuk meg Brüsszelt! kampány, viszont eme célközönséggel felesleges vitatkozni.)

Nem-e?

https://ec.europa.eu/transport/sites/transport/files/themes/its/road/ac…

>"Ha az EU azt mondja, hogy a vonatokon marpedig QR kodos e-ticket kell"
>Nem mondja.

The EU has an ambitious strategy for rail: the creation of a single, efficient and competitive market for rail throughout Europe. It aims to achieve this through:

Opening rail markets;
Promoting competition;
Tackling barriers to market entry;
Harmonisation of technical specifications (interoperability)
Harmonisation of safety standards and certification.
The European Commission has put forward several legislative "packages"– successive steps towards a common legal framework for infrastructure management and operations.

ORR's involvement in European policy has two main elements:

Influencing the formation of EU law, so that the best possible result is achieved for the UK rail industry;
Implementation of EU law, in the best way for the UK.
So far we have had success in achieving EU legislation that is compatible with the UK model, and implementation has not been disruptive for the UK rail industry.

http://www.orr.gov.uk/about-orr/what-we-do/the-law-and-our-duties/eu-law

Cáfolat: az az Interoperability nagy valószínűséggel nem az az interoperability, amire te gondolsz, hanem az, hogy milyen tengelytávval mehetnek a vonatok, milyen szélesek lehetnek, milyen magasságúak lehetnek, a síneken mekkora lehet a legnagyobb szintkülönbség, hol lehet üríteni a WC-t stb.
http://www.era.europa.eu/Core-Activities/Interoperability/Pages/home.as…

Vagyis azok a dolgok, amik ahhoz kellenek, hogy a határon ne kelljen mindenkit lerugdosni a vonatról és átültetni egy másikba...

pl. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32014H0881 - nézd végig a táblázatot.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

"Under ideal circumstances, a passenger should be able to plan and book a trip across Europe using different transport modes as easily as making a common domestic journey using only one transport mode. One-click search, one-click booking, and one-click payment and travel entitlement issuance.

...

Secondly, the customer should additionally have easy (one-stop-shop) access to online booking, payment and ticketing services, allowing for the conversion of such journey plans into purchased trip entitlements, including additional assistance in the case of delay or interruption of travel services (on-trip information, advice and re-accommodation).

...

Most transport operators offer online travel information, booking and ticketing as part of their customer service and sales strategy. The user can browse the schedule and fare database, usually of one transport operator at a time, and filter search results by various items via the transport operators’ website. Subsequently, they can book the preferred itineraries on the same webpage. The e-ticket can either be downloaded or be delivered by email. E-tickets contain unique QR-codes and bar codes for validation on the train or at the airport."

https://ec.europa.eu/transport/sites/transport/files/themes/its/studies…

Ugyanonnan:

On the one hand, paying via NFC is faster and less complicated because no visual
information is to be transmitted. On the other hand, security and fraud risk may be an issue regarding the possibilities of hacking into a wireless system. Therefore, reliable security systems need to be implemented. Whereas there is always a certain risk that someone might be able to gain access to a secure connection, this risk does not occur with bar and QR-codes, because a visible connection is necessary for validation. As bar and QR-codes are often hard to read with handheld-scanners, a product innovation making use of light signals is available for a limited number of smartphones.

While a smartphone and mobile payment app are required to use such systems, credit card companies have invented the contactless credit card. This works very similar to the solution using NFC-enabled smartphones, but is not dependent on a working smartphone or even a mobile Internet connection. However, the risks are the same. The RFID chip may be scanned by third parties; hence the risk of fraud is equally high

(kiemelés tőlem)

ui.: és egyébként az idézett szöveged továbbra is csak azt állítja, amit eddig mi sem tagadtunk: vonaton és repülőn működik a QR, mert nincs szükség nagy áteresztőképességre.
ui 2.: Az állandóan hivatkozott leolvasódra: a mai napig van, hogy a lényegesen egyszerűbb sima vonalkódokkal küzdeni kell és a végén marad a pötyögés a boltokban, pedig annak a technológiának a tökéletesítésére volt pár évtized (és a nyomtatás [megjelenítés] kontrollált eszközzel történik)...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Meg fogsz lepődni: Minden jegy ilyen. Csak a rendszer elve szar. Most már szinte mindenhol digitális jegykezelő van, ami egy időbélyeget nyom a jegyre, csak ki kellene mondani az egyszerű szabályt - mint a legtöbb nagyvárosban tőlünk nyugatra - hogy a kezelt jeggyel X időn belül oda mész, ahova akarsz, annyi átszállással és olyan járművel, amennyi épp kell.
Csak nálunk rettegnek attól a ~0,2%-nyi utastól, akik épp _lehet, hogy_ megjárják az útjukat oda-vissza, vagy átadják valakinek a jegyet az érvényességi időn belül, "hatalmas károkat" okozva ezzel

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Az oysterrol annyit tudok hogy mukodik. Igen jol. Mindenkinek van a csaladban. Az utasok fizetik a kartyakat. Nem kerul semmibe az uzemeltetoknek (megvetetik veled eloszor) Most mar van NFC tamogatas itt is (UK) sokaig nem volt azt hiszem 2-3 eve vezettek be 14 ev vege fele talan.

Szoval csak annyi, hogy nem kene feltalalni megint a melegvizet mert leginkabb az kerul milliardokba...

Az egy masik ceg de ne zavarjon.

Egyezzunk meg annyiban, hogy a jelenlegi foshalmaz megoldas ezer millio fenyevnyire van egy mukodo oystertol. qr kod baszakodas naponta felmenni ervenyesiteni. Masik forumban valaki mar leirta a tutit. Bemasolom engedelmeddel:

az a baj, hogy ez így olyan, mint amikor kovácsbélának kiadják, hogy legyen valami ami nagyon digitális nagyon online nagyon okostelefon nagyon maxisecure (lol) aztán mivel ő ezeknek a felét se érti mert 30 éve tarifál a vállalatnál ezért kiadja az onoka óvónénijének, hogy valamit találjanak ki a gyerekek a nyári táborban ha már úgy is azt az ördögi szerkezetet nyomkodják állandóan.

na az lesz ilyen, amikor mórickáék belendülnek, hogy "húúú húúú akkor legyen online, meg húúú wááá qr kód is legyen benne meg óvónéni óvónéni csak okostelefonos legyen megvan megvan legyen loginos is és u-u-u-u személyivel legyen érvényes meg meg meg meg"

+1, elég sok szálon fut a sztori

Én QR-kóddal leggyakrabban az automatás (parkoló, vending machine, stb.) fizetéskor szoktam találkozni, a Simple appban. A QR kód leolvasása olyan gyors, hogy mire megtörténik a leolvasás, az app még nem renderelte le az előnézeti képet.

Line of sight kell hozzá? Igen. Van jobb opció? Igen. Ettől még cost/benefit szempontból lehet "elég jó" megoldás. Inkább az a kérdés, hogy ha nagy a tömeg, ez mennyire lassítja le a beléptetést - másfelől a mérleg másik oldalán ott van az a tény, hogy ha lassabb is a sztori, így nem lehet a lejárt bérletet egy tizedmásodpercre felvillantva átslisszanni.

"Line of sight kell hozzá? Igen. Van jobb opció? Igen. Ettől még cost/benefit szempontból lehet "elég jó" megoldás."

Te is elfelejted, hogy itt nem egy "nyers" technológiai vita van. Ugyanis ami fix, hogy lesz 10 ezer nfc-s leolvasó, meg 800 nfc-s beléptetőkapu. Erre van meg a pénz, erre vagyunk leszerződve valami német céggel. Magyarán a kérdés úgy hangzik, megéri-e ugyan ennyi qr olvasót beszerezni, plusz lefejleszteni ezt a bughalmazt pár hónapra/1-2 évre, hogy néhányan mobillal mutogassanak bérletet.

> Ugyanis ami fix, hogy lesz 10 ezer nfc-s leolvasó, meg 800 nfc-s beléptetőkapu. Erre van meg a pénz, erre vagyunk leszerződve valami német céggel. ... pár hónapra/1-2 évre, hogy néhányan mobillal mutogassanak bérletet.

Na errol szivesen olvasnek tobbet. Hol erhetoek el a megrendelt leolvaso/kapu muszaki parameterei?

Szemét leszek. :-) Keresd meg:
„10. Melyek az új jegyrendszer legfőbb elemei?
Az elektronikus jegyrendszer működésének alapját a központi elszámoló rendszer jelenti, amely nyilvántartja a kártyákat, a termékvásárlásokat és az egyenlegfeltöltéseket, elvégzi az utazásiár-kalkulációt és a kapcsolódó pénzügyi elszámolásokat, valamint támogatja az új, integrált értékesítési csatornákat.

A legtöbb metró- és a kiemelt HÉV-állomásokra mintegy 800 automatikusan működő be- és kiléptetőkaput telepítenek, az ellenőrök pedig összesen több mint 600 új, hordozható kézi készülék segítségével végzik majd munkájukat, amelyekkel könnyen és gyorsan ellenőrizhetik a kártyák érvényességét.

A rendszer része a 2500 járműre (buszra, trolibuszra, villamosra) felszerelendő mintegy 10 ezer új érvényesítőkészülék; a kapuval nem lezárható HÉV-állomásokra pedig 450 állomási érvényesítőkészüléket helyeznek ki.”

Szvsz. a leolvasás sebessége. Fentebb írtad a reptereket: nagyságrendi különbség van egy reptér vagy egy vonatállomás és egy tömegközlekedés szükséges áteresztőképessége között. A reptéren nem lepődsz meg/anyázol, ha sor van előtted a check-innél, mert köteles vagy úgy időzítve kiérni, hogy még akkor is felférj. Ott belefér az, hogy 10 mp egy utas QR kódját leolvasni (különösen, hogy egy több perces procedúrát váltasz ki vele), még a MÁV-on is többnyire belefér, hogy a kalauz szerencsétlenkedik a leolvasóval, mert hosszú az út [és az elindulásnak nem feltétele!].

A helyi tömegközlekedés annyiban más, hogy ha "percalapon" számlázol, akkor a be- és kijáratnál kell azonosítanod (mint a reptereken), viszont az ugyanakkora utazóközönségnek nem lesz türelme a 10 mp-s leolvasást megvárni, mert nem egy órával korábban ér be az állomásra.

És persze, jó eszközzel és jó megjelenítővel nincs 10 mp egy leolvasás - de ehhez két feltétel kellett. Az NFC ebből a szempontból szerencsésebb, mert kiszámíthatóbb.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Megneztem. Fasza.

Es akkor terjunk vissza oda, hogy van egy fem oszlopod egy nfc tag olvasoval vs egy csodaolvaso bevezetese. Nem latom azt, hogy egy ilyen scanner miert nem milliardokba kerul (mert ugye innen indult a szal hogy en el akarok kolteni nemtudom mennyit)

A mostani qr olvasas az ellenorok kezeben mibol all es mennyi idobe telik mig leolvassak es megallitanak? Es mennyibe kerult?

> hogy van egy fem oszlopod egy nfc tag olvasoval

Nem egy fem oszlopod lesz, hanem mar rogton egy integralt csodaolvaso, kulonben hogy ellenorzod/kezeled a papir alapu jegyeket?

> Nem latom azt, hogy egy ilyen scanner miert nem milliardokba kerul

Ugyan itt csak hasra utok, de szerintem maguk a szenzorok "filleres" tetelek, amik milliardokba kerulnek, az a hatorszag, azaz az infrastruktura, ami a beolvasott adatot ertelmezi is.

> A mostani qr olvasas az ellenorok kezeben mibol all es mennyi idobe telik mig leolvassak es megallitanak? Es mennyibe kerult?

Nem tudom. En csak azt latom, hogy nagy a picsogas, hisztizes, siras, de hogy ez a kesobbiekben talan egy fontos eleme lehet a MAV es a BKK kozti atjarhatosagnak, az lathatolag senkinek eszebe se jutott.

Helló, nem lesznek papír alapú jegyek. Le volt írva a linken. Így csodaolvasó sem.

"de szerintem maguk a szenzorok "filleres" tetelek, amik milliardokba kerulnek, az a hatorszag, azaz az infrastruktura, ami a beolvasott adatot ertelmezi is."

Gratulálok.

"Nem tudom. En csak azt latom, hogy nagy a picsogas, hisztizes, siras, de hogy ez a kesobbiekben talan egy fontos eleme lehet a MAV es a BKK kozti atjarhatosagnak, az lathatolag senkinek eszebe se jutott."

Itt láthatóan te vagy ráizgulva a qr-kódra, és csinálod a fesztivált, hogy másoknak miért nem tetszik. A Máv-BKK átjárhatósághoz meg csak annyit, hogy előbbinél van vonatonként 1-2 kalauz, utóbbinál meg tizensokezer eszköz, a te nagy ötleted pedig az, hogy utóbbi alkalmazkodjon előbbihez.

"Helló, nem lesznek papír alapú jegyek. Le volt írva a linken. Így csodaolvasó sem."

Nekem mast sugott a tunderke:

> 23. Lesz átmeneti időszak, amikor párhuzamosan fut majd egymás mellett a papíralapú, illetve az elektronikus jegyrendszer?
> Igen, hiszen a projekt több ütemben valósul meg.

"Gratulálok."

?

"Itt láthatóan te vagy ráizgulva a qr-kódra, és csinálod a fesztivált, hogy másoknak miért nem tetszik. A Máv-BKK átjárhatósághoz meg csak annyit, hogy előbbinél van vonatonként 1-2 kalauz, utóbbinál meg tizensokezer eszköz, a te nagy ötleted pedig az, hogy utóbbi alkalmazkodjon előbbihez."

?

"Ugyan itt csak hasra utok, de szerintem maguk a szenzorok "filleres" tetelek, amik milliardokba kerulnek, az a hatorszag, azaz az infrastruktura, ami a beolvasott adatot ertelmezi is."

Biztos? Van napi ~5 millió tranzakció, ehhez azért nem kell egy halálcsillagot felépíteni milliárdokból...

Szerk fentebbrol: ja ertem mar, azt hitted, hogy en konkretan UK-rol kerdezlek. Nem. Engem az erdekel, hogy miert kene egy az egyben a kinti peldat kovetni, azaz vonatokra QR kod, metrora NFC? Es amikor London elkezd konvergalni es bevezeti a QR kodot, hogy ugyanazzal a jeggyel tudj vonatozni, meg metrozni is, akkor meg majd az lesz a picsogas targya, hogy nalunk miert nem gondolkoztak elore, most le kell cserelni az osszes masinat jajjajjjajjjj

papír esetén persze, de azért a telefon képes fényt kibocsájtani -már ha nem merül le- (persze ha lemerülne akár lehet pl powerbank is az ellenőr közelébe -ha kezelni akarnák ezt a problémát-, de megjegyzem, hogy ezzel az erővel mikrohullámú sütőbe betéve az NFC-s eszköz is működésképtelenné válik és ugyan úgy probléma, ha nem működő kártyát adsz az ellenőr kezébe vagy épp a beléptető kapuhoz)

Sokat gondolkodtam amúgy NFC vs QR kódos megoldás kapcsán. Automata kapuk esetén NFC.... kapuk nélkül (pontosabban biókapu alias ellenőr esetén) pedig QR kód a _jobbnak tűnő_ megoldás.

QR kód esetén személy szerint a dinamikus OTP-s offline generálós megoldás tetszik, mert megoldást nyújtana adatkapcsolat hiányára is.
A másolással kapcsolatos aggályok kezelésére azt lehetne, hogy pl egy kulcs online kapcsolat esetén újragenerálódna a központ, a felhasználó és a telefon egyedi adatai alapján bizonyos időközönként.
Ezen felül még log elemzéssel is szűrni kell a használatot (pl ellenőr képernyőjén sárga jelzés, hogy az adott kód használója régen jelentkezett fel kulcscserére így gyanús és alaposabb ellenőrzés szükséges... ). Teljesen kivédeni úgysem lehet, mert pl interneten keresztül folyamatosan megosztott alkalmazásadatok vagy épp virtualizált android egy felhőbe és annak a képének megjelenítése két különböző eszközön stb miatt.

Lehet még akár az ellenőr számára olyan vizuális segítséget is adni, hogy a QR kód mellett egy színkód is lenne, ami óránként v. félóránként változik és a saját kütyüjén látja az aktuálisat és összehasonlítja a felhasználónál levővel így gyorsítva az áthaladást. 6 különböző négyzet egymás mellett, melyek színe és sorrendje más és más random központból vezérelten amolyan fingerprint szerűen (jó lehet sok mastermind -et játszottam :-), de attól még lehet segítség)- így aki online van és friss annak max szúrópróba ellenőrzésre kell számítania, mindenki másnál alaposabb ellenőrzés várható.

Pont a „biokapu” esetén macerásabb a QR-kód, mert két embernek kell relatív mozdulatlanul tartani az eszközeit.
Az adatkapcsolat hiányára pedig van egy tök egyszerű megoldás: A kódnak tartalmaznia kell a jegy/bérlet típusát, érvényességének kezdetét és végét, valamint a fényképbe rejtett vízjelet, az egészet a BKK szervere digitálisan aláírja, innentől nem kell adatkapcsolat. Hiába csinálok másolatot, ha kicserélem a képet, bukta.

"papír esetén persze, de azért a telefon képes fényt kibocsájtani"

Telefonnál tipikusan a tükröződés a probléma... néha fél perc is eltelik, mire sikerül mindkettőnknek olyan szögben tartani a telefont, hogy a képernyőn jól látható legyen a QR kód. Én napi sokszor napi szinten szoptam ezzel, szóval nem a levegőbe beszélek... :)

Érdekes, hogy a kínaiaknak valahogy sikerült ezen a problémán túllépniük. Legalábbis Horváth Lilla vlogjában többször látni - és asszem említi is - hogy igen elterjedt fizetési forma, hogy a telefon kijelzőjén megjelenített QR kódot olvassák.
Saját tapasztalat, hogy a K&H e-banki belépéshez - illetve a tranzakciók aláírásához - a laptop kijelzőjén megjelenített QR kódot kb. minden esetben könnyedén olvasta a mobil app.

Ave, Saabi.

"QR kód esetén személy szerint a dinamikus OTP-s offline generálós megoldás tetszik, mert megoldást nyújtana adatkapcsolat hiányára is.
A másolással kapcsolatos aggályok kezelésére azt lehetne, hogy pl egy kulcs online kapcsolat esetén újragenerálódna a központ, a felhasználó és a telefon egyedi adatai alapján bizonyos időközönként. "

Ez sem tökéletes, mert vagy nem elég gyakori a kulcscsere hogy hatékony legyen, vagy sok adatforgalmat generál/aksit merít. Eleve vicces, hogy ugyan annyiba kerül, mint egy papír alapú bérlet (még a MÁV is képes adni 3% kedvezményt), nem hogy még az adatforgalmat is fizessük.

"ha pedig nincs adatkapcsolat"

Egyébként biztos vagyok benne, hogy a spanyolviaszt találom fel, de ez miért olyan nagy probléma?

Nem lehetne adatkapcsolat híján egy handshake-t és frissítést lebonyolítani SMS-ben? Illetve nem biztosíthatna a szolgáltató egy számot, amin ez ingyenesen történik?

Én az oystert az amúgy is mindig nálam lévő paypass-os hitelkártyámmal használom.

Esetleg néha a telefonommal (nfc és android pay).

Ezek pont azok a dolgok, amik amúgy is ott vannak a zsebemben.

Persze, ha valakinek nincs okostelefonja és nincs paypass-os bankkártyája, akkor kérhet egy oyster kártyát.

Akkor Oyster helyett olyan mintát kell keresni, ahol a nálad lévő eszközökkel igazolhatod az utazási jogosultságot. Ha jól tudom*, a MÁV-nél pont ilyen az "otthon nyomtatott" jegy.

Nem hinném, hogy a BKK lenne az első, akinek fel kellene találnia a melegvizet, persze az más, hogy egy rendszert licenc-ben átvenni sokkal kisebb "zavaros", mint magunk összeeszkábálni.

(* autós budapestiként nekem a MÁV szerencsére kimerül a kb. 1 utazás / 5 év sűrűségben, akkor meg megveszem a papíralapú jegyet.)

----------
rohamkocka

( seferbt v | 2017. 07. 17., h – 15:07 )

SQL injection-re valaki rápróbált már? A 'users' táblára érdemes lenne rápróbálni egy delete-tel. Ha sikerül, akkor legalább nem kell aggódni, hogy ellopják azokat a jelszavakat is, amit még esetleg nem loptak el.

( freeoli v | 2017. 07. 17., h – 15:34 )

Nagyon remélem hogy nagyon sokan kerülnek börtönbe ezért.

Ez egy igazán nagyon magyar tipikus történet. 20 éve dolgoznak rajta, elköltöttek rá egy metró árát de még senki nem látta.

Porig kell rombolni mindent ami az államban managemet létezik. Tízezreket kell azonnal utcára rakni mert nem csinálnak semmit legfeljebb a mutyit és százezrek vannak alattuk akik szarért húgyért kidolgozzák belüket hogy az ország működjön.

( raavi | 2017. 07. 18., k – 00:53 )

https://shop.bkk.hu/webpass/#login:

request headers:
GET /ellenor/kk_svc.vasarlo_login?login=foo&password=bar HTTP/1.1
Host: shop.bkk.hu
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
[...]

Szóval rendben van, hogy https a kapcsolat és úgy tudom az URL is titkosítva megy, de ebben az esetbe a web szerver logjában még ott van plain-text formátumban a userid/passwd. Jól tudom?

Jelezni?
Hát úgy gondolom, hogy a BKK magatartására tekintettel, ezért inkább feljelentést kéne tenni. (Bár lehet törvényileg max. csal tiltakozni lehet szmélyes adatkezelés ellen 2011. évi CXII. törvény §21.)
De hátha elő lehetne túrni valami jogszabályt, hogy alapvető hiba (sztem majdnem minden doksiban benne van, hogy user/pwd-re ne használj GET -et) miatt felhasználó adatok harmadik fél számára hozzáférhetőek.
Feltételezem mindenki jóhiszeműen regisztrált az oldalra.

bkk_shop_adatkezelesi_tajekoztato
3.2. A BKK az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés,
megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint
a véletlen megsemmisülés, sérülés, továbbá az alkalmazott technika megváltozásából
fakadó hozzáférhetetlenné válás ellen.

Attol fugg, hogyan van konfiguralva a webszerver logolasa. Siman ki lehet belole csillagozni.

(ui: nem, nem feltetelezem, hogy akar csak eszukbe jutott volna ez (az elozmenyek ismereteben), meg egyaltalan, minek plain text passwordot kuldozgetni _barhogyan_, barhova, de ezek mar csak reszletkerdesek...)

Igen, eszembe jutott nekem is,
de azt már nem az app owner/developer/akármije szabályozza hanem a hosztoló cég rendszergazdája.

Tehát van esély rá, hogy 3. fél könnyen hozzáférjen.

Más...
ha kérem, hogy az én adataimat töröljék a rendszerből akkor a logokból ki fogja törölni?

nem bizony. csak en gondolom ugy, hogy a jelszavakat egy ideje mar egyiranyu algoritmusokkal szoktak elkodolni es a hash-t tarolni? ezeknek a jokepessegu fejlesztoknek miert nem jutott ez az eszebe? a lefejlesztese kb 2 perc (ok, kell meg tesztelesre is 10-15 perc) mert kb. mindenre van mar kesz lib ami megoldja.

Hasonlót 6-7 éve fogtam egy itthoni banknál. Ott GET requestben ment át a név, kártyaszám, CVC kód (szerencsére https-ben). De néztem, hogy mit keres a webböngésző history-jában ilyen érzékeny adat. Írtam nekik egy emailt, hogy ezt azért nem kellene. Írtak, hogy továbbítják az IT osztálynak. A legközelebbi fizetéskor - pár hónap múlva - már POST volt.

( _Franko_ v | 2017. 07. 18., k – 09:22 )

http://wiki.javaforum.hu/pages/viewpage.action?pageId=8683616

Szokás szerint annyi történt, hogy a győztes cég megnyerte valamilyen "oknál" fogva a munkát, amelyet azonnal kiadott valamelyik projektcégének, a projektcég kiadta a megszokott fejlesztő cégének, a megszokott fejlesztő cégnek éppen nem volt elegendő fejlesztője, vagy a szabad fejlesztők éppen nem értettek ehhez a területhez, esetleg még az is előfordulhat nem ritkán, hogy egyáltalán nem csináltak még ilyen munkát. Ebből következően a fejlesztő cég körülnézett a piacon és hamar-hamar-gyorsan-gyorsan felvett mindenféle gyütt-ment olcsó embert az utcáról projektmunkára, esetleg egy-két szakértőbb embert architect pozícióra – de ez ritka dolog egy ilyen projektben, általában a fejlesztő cég valamelyik – szakmából 5-15 éve kikopott – vezetője a fő-fő architect... :)

Ha mindez megvan, akkor sejthető, hogy a tápláléklánc alján már csak a pénz felének a harmada létezik kézzelfogható formában. Ekkor indul be a tényleges munka, amelyet így már alapból 1-2 hónap csúszás jellemez, de a projektvezetők optimisták, hiszen annyi ember dolgozik a projekten, hogy szinte egymást akadályozzák a munkában, így a projektre tervezett idő első fele szép és lassú munkával el is telik.

Persze a megbízó egyre idegesebben toporog, mivel nem lát semmi terméket, ezért a beszállító elkezdi használni a "szerkezetkész" fogalmat, amely ebben az esetben azt takarja, hogy valami GUI építővel összedobnak gyorsan pár képernyőt, amelyen lehet kattintgatni, de a dolog mögött még nincs üzleti logika – lévén a színfalak mögött már harmadszor térnek át gyökeresen más keretrendszerre, mivel az előzőekkel nem tudtak egy-egy feladatot megoldani, a vállalkozói réteg mélysége pedig rengeteg információt torzít el, a fejlesztők sokszor rá se ismernének a megrendelő igényére.

Amint a projekt tervezett idejének a felén túlhalad az idő, a projektvezetők kezdenek idegesek lenni, mivel az alsó szinten a pénz 90 százaléka már elfogyott, de felmutatható prototípus még messze nincs, pedig lassan felhasználói teszteket kellene futtatni. Ekkor a középső projektcég – mint vízzáró réteg – a pánikhangulat elkerülése végett elkezdi akadályozni a kommunikációt a tényleges munkát végző és a pályázatot nyerő cég között. Eközben végtelen prémiumot kezd ajánlani a fejlesztő cég vezetőinek, ha időre sikerül befejezni a feladatot, miközben a megbízótól időt próbálnak szerezni, például arra hivatkoznak, hogy az élesbe helyezéskor erős napfolttevékenység várható, ezért el kell azt halasztani legalább két hónappal.

A fejlesztő cég vezetői a végtelen prémiumok csábító ígéretére elkezdik bevezetni a 16 órás munkanapot, illetve a "minden nap hétköznap" nevű játékot, igyekeznek rábeszélni a projektmunkára beszervezett embereket arra, hogy a karácsony csak egy napos, illetve szombatra és/vagy vasárnapra is bevezetik a szabadság fogalmát. Ha az utolsó senki fejlesztők zúgolódnak, akkor apró hibákra való tekintettel példát statuálnak és kirugnak pár embert, akiket már úgysem tudtak volna kifizetni pénz hiányában.

Ahogy sejthető, a projekt nem fejeződik be határidőre, mivel a tesztek során kiderül, hogy tíz párhuzamos felhasználót már nem bír el a combos szerverpark, s ekkor a fejlesztők fele mindenféle cache megoldások integrálásával kezd bajlódni a saját területén. Amikor már száz párhuzamos felhasználót is elbír a rendszer a terheléses teszteken, akkor kiderül, hogy a fejlesztői gépen fejlesztett és tesztelt alkalmazás furán viselkedik cluster alapokon, mivel az újonnan belépő felhasználók adatai valahogy keverednek a már belépett felhasználók adataival. Ekkor a fejlesztők fele azzal kezd foglalkozni, hogy az rendszerbe került tucatnyi cache megoldások tartalmát összehangolja, hogy elosztott környezetben is tudjon futni a szoftver. Ezek után kiderül, hogy az alkalmazás elkezd memóriát fogyasztani, s az éles terhelés esetén naponta két újraindítással lehetne csak üzemeltetni.

Nagyjából három hónapos késés után kezd a projektet megnyerő cég vezetője rendszeres látogatásokat tenni a helyszínen, hogy jelenlétével és csoki-üdítő-gyümölcs-vacsora kombinációval munkára bírja az alja népet, de a fejlesztők már régen lemondtak arról, hogy valaha működni fog az a kódhalmaz, amelyet most írnak át ötödszörre.

Minden egyes új build után a tesztelők először azt mondják, hogy mehet a dolog, így összetrombitálják a sajtót, hogy most fog élesbe menni ez a nagyszerű termék, amelyhez foghatót
még nem látott a világ, amikor valamelyik fejlesztő talál egy végzetes hibát, amely éles üzemben katasztrófát idézne elő. Ez megy hétről-hétre, a sajtó már csak ásít az újabb próbálkozásra, a projekten dolgozók pedig napról-napra fogynak.

Előbb-utóbb elérkezik az a pont, amikor a projektet – függetlenül annak állapotától – élesbe kell tenni. A projektmunkára szerződött fejlesztők ekkor már legalább kétszer lecserélődtek új arcokra, akiknek fogalma sincs már arról, hogy bizonyos sorok miért vannak bizonyos helyeken a forráskódban, s már csak egy maroknyi keménymag küzd azzal, hogy élesíthető állapotba kerüljön a kódhalmaz. A projektvezetésre átragad a fejlesztők letargiája, és "nekünk már úgyis mindegy" alapon rábólintanak az élesítésre, az önéletrajzokba pedig változatos hazugságok kerülnek, mint például "az utóbbi két évben háromszor volt négytalálatosom a lottón, és most fogyott el a pénz".

A kitett build látszólag egész jól viseli a terhelést és a felhasználók érdeklődését, amikor kiderül, hogy olyan részen van hiba, amelyet senki nem tesztelt és/vagy a teszteset rossz volt, így a visszaálláson kezd gondolkodni a döntési gépezet, a menedzsment pedig egy jól hangzó érvet vesz elő: ez csak egy éles tesztüzem volt.

A mese természetesen kitalált történet, a valósághoz semmi köze nincs.

"A vezérigazgató szerint számtalan próbálkozás, trollkodás volt, de sikeres feltörés nem történt. "

a pofám leszakad ezektől... De komolyan...

De ez az igazán szép. ebben úgy minden benne van. Elkúrták. Nem kicsit, nagyon... És még ők állnak neki fenyegetni az embereket?!?!?

"Dabóczi a hekkelésekkel kapcsolatban kijelentette: az etikus hekker megrendelői megbízás alapján, szerződéssel teszteli a rendszert. Minden egyéb jó vagy rossz szándékú hekkelés bűncselekménynek minősül, 3 évig terjedő büntetéssel sújtható."

Az egész tetves bagázs megérdemelne az üggyel kapcsolatban egy feljelentést költségvetési csalás, és hűtlen kezelés témakörben!

"Dabóczi a hekkelésekkel kapcsolatban kijelentette: az etikus hekker megrendelői megbízás alapján, szerződéssel teszteli a rendszert. Minden egyéb jó vagy rossz szándékú hekkelés bűncselekménynek minősül, 3 évig terjedő büntetéssel sújtható."

Ezek után merjen bárki állami szolgáltatást indulás után fél éven belül igénybe venni, ha véletlen ráakad egy hibára, lecsukják.

valószínűleg miután a szakma elkezdett kurvaanyázni, meg tolni a hibákat befelé az arcukba, most jutottak el odáig, hogy egy etikus hekkerrel is meg kéne nézetni a cuccot. Mert kiderült a félreértés, hogy hekkel max jóllakni lehet, biztonságot tesztelni nem. Pedig a menedzserek a mai napig meg vannak győződve, hogy az egyik meetingen valaki hekket emlegetett, mert a hekkernek semmi értelme...

( tneilc | 2017. 07. 18., k – 12:40 )

http://bkk.hu/apps/shop/bkk_shop_adatkezelesi_tajekoztato.pdf

3.2. A BKK az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

3.5. A BKK az adatkezelés során megőrzi

    a) a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult
    b) a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a
    pontosságát és teljességét;
    c) a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak
    szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésére álljanak az ezzel kapcsolatos eszközök.

3.6. A BKK és együttműködő partnerei informatikai rendszere és hálózata egyaránt védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. Az üzemeltető a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik.

Ez mondjuk jól hangzik, de vajon tényleg így van-e?!?!

( tmms v | 2017. 07. 18., k – 12:46 )

Nem tudom, láttátok-e már:

"Picit úgy érzem magam, hogy ahogy a focihoz is általában mindenki ért Magyarországon, most hirtelen mindenki etikus hacker lett itthon, legalábbis annak vallja magát. Felelőtlennek érzem azt, amikor valaki azt állítja, hogy bárki feltörheti a rendszert.
Feltörhető a rendszer?

Dabóczi szerint annyira az, mintha valakire rárúgnánk a lakása ajtaját és azt mondanánk, hogy találtunk egy biztonsági rést az otthonán és bejutottunk. Elmondta, bár ő a kocsik nagy részét fel tudja nyitni kulcs nélkül, mégsem teszi – kivéve egy esetben, amikor a híd alatt egy család gyereke magára zárta az autót és ő segített kinyitni. Ez szerinte azonban mégsem biztonsági rés."

http://24.hu/belfold/2017/07/18/fovaros-kibertamadas-volt-a-bkk-online-…

"A vezérigazgató szerint most már meghaladják a webshopokkal szemben támasztott általános biztonsági elvárásokat, a szolgáltatásnak pedig havidíja van (ami tartalmazza az üzemeltetést, a karbantartást, a biztonsági szolgáltatást, stb.), ami 22-25 millió forint."

Ki lesz az első, aki feljelentést tesz különösen nagy értékre elkövetett hűtlen kezelésért?

"Elmondta, bár ő a kocsik nagy részét fel tudja nyitni kulcs nélkül, mégsem teszi "

OK, akkor ez azt is jelenti, hogy holnaptól megszűnik az összes jegyellenőri státusz? Elvégre jegyet/bérletet már pedig KÖLL venni, ami azt jelenti, hogy vesznek is.

Emlékszem a korra, amikor Nyakó meg Szijjártó színvonala hírértékű volt - de ez már a némethszilárdi sztenderd.

" Az elmúlt napokban 150 embert töröltek, akik kamuprofillal próbálkoztak. Köztük voltak olyanok, akik admin vagy adminadmin névvel próbálkoztak, többen pedig azt hitték a róluk készült képernyőmentésekről, hogy azok a rendszergazdához tartoznak. "

He? mit akart ezzel mondani.... ?!?!? :D

Ezt: „Okosnak tűnő dolgokat mondok, hogy ne nézzenek sík hülyének.”
Nem sikerült.
Egyébként kifejezetten érdekelne, hogy mi az, hogy kamuprofil, és miért kell emberi erőforrást, sőt közpénzt (WTF!?) pazarolni rá? Lehet, hogy a BKK–T páros Zuckerberg babérjaira tör? :)

( kicca | 2017. 07. 18., k – 12:49 )

"T-Systems és a Kürt Zrt. szakembereiben bíznak"

Na a Kürt is belekeveredett valahogy. Csak gratulalni tudok mind2nek :)

Gyorsan felkértek egy majdnem 20 éves céget, akikről már gyerek korukban is hallottak, hogy mentsék ki őket a kakiból. :D

"...mire jó az adatok védelme? Semmire. Sokkal szórakoztatóbb a katasztrófákról mesélni, panaszkodni, szidni a főnököt, a beosztottat, a gyártót és a szállítót, mint megkísérelni megelőzni a bajt, ezzel lemondani a kaland lehetőségéről, és dögunalomban élni." ( https://hu.wikipedia.org/wiki/K%C3%9CRT_Inform%C3%A1ci%C3%B3biztons%C3%…. )

... hát most van kaland bőven. :D
... ja és ciki hogy T-Systems házon belül képtelen megoldani. :D

Legalabb annyi eszuk lenne, hogy csondben maradnak es nem hulyesegeket nyilatkoznak.

Ehhez szükséges volna, hogy a nyilatkozók tisztában legyenek azzal, hogy amit mondanak, az hülyeség, vagy legalább egyeztetniük kellene valakivel, aki tényleg ért hozzá, és akinek a szakértőségét ők maguk is elismerik. Mernél-e fogadni, hogy a nyilatkozók ilyenek, és nem csak a hübrisz beszél belőlük? :)

( kilvadi | 2017. 07. 18., k – 17:57 )

https://www.hwsw.hu/hirek/57531/bkk-online-berlet-t-systems-biztonsag.h…

T-Systems: vállaljuk a BKK értékesítési rendszerét
"Örömmel vesszük a hibajelentéseket" - mondta Takács János, a BKK új online értékesítési rendszerét fejlesztő T-Systems Magyarország IT-biztonsági igazgatója, majd néhány mondattal később közölte, hogy személyesen tett büntetőfeljelentést az egyik súlyos hibát kimutató és azt bejelentő felhasználó ellen.

booom....

Itt arról az emberről van szó, aki 50 Ft-ért vett bérletet, ha jól tudom. Ebben az a szép, hogy ez max. csalás, és 50000 Ft alatt eleve csak szabálysértés. Ha minden igaz, az illető ezt jelentette a BKK felé, tehát még ez is nehezen állja majd meg a helyét.
Persze, szép lenne egy Btk. 423. § (2) b. (Aki információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,
bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.), csakhogy a saját böngészőmben én azt csinálok, amit akarok. Még. :)

Nem az 50 Ft-al van a baj.

A teljes szolgáltatás ("információs rendszer"), vagyis a böngészőben és a szerver oldalon futó kód is a tulajdonosé, ha a kéréseket manipulálod, akkor szerintem megvalósulhat az adatok jogosulatlan megváltoztatása:

"423. § (1) Aki
c) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,
vétség miatt két évig terjedő szabadságvesztéssel büntetendő."

Nem, a normál működés során nem teszi lehetővé.

Ha egy Fistname textbox-ba beírom, hogy Tassadar és ezzel admin jogosultságom lesz, akkor vélelmezhető, hogy jóhiszeműen jártam el.
Ha egy http request-et preparálok és úgy leszek admin, akkor viszont bűncselekményt követek el.

és ha egy saját faragású "böngésző" teszi lehetővé azt hogy on-the-fly kicseréljem majd úgy küldjem be ugyanazt a requestet akkor már jó vagyok?
Ha ugyanezt a böngészőt 10-n használják akkor már jó?
Ha ugyanezt a böngészőt 100-n használják akkor már jó?
Ha ugyanezt a böngészőt 1000-n használják akkor már jó?
Ha ugyanezt a böngészőt 10ezren -n használják akkor már jó?
Ha ugyanezt a böngészőt 100ezren -n használják akkor már jó?
[...]
?

Sokan járunk a médimarkt-ba. Van aki kéri az árút fizet és kész.
Egyszer voltam oly bátor, hogy azt mondtam megveszem ha engednek 5000-t.
Elfogadták az ajánlatom.
A bérlet 50 ft-ért ennek digitális változata. Az eladó elfogadta az ajánlatot.
Ez után a vevővel egyeztetve,a hiba miatt elnézést kérve, a 50 ft. visszatérítve vehette volna vissza a bérletet.
Lehet, hogy így tette?!

tényleg, honnan tudod biztosan, hogy nem éltél még ezzel a lehetőséggel?
más is átragaszthatta, s te csak levetted a polcról... majd fizettél és kisétáltál. Illetve akár épp a boltos tett rá véletlen rossz vonalkódot, mert még nem élt az akció (rendszerhiba), amit te "kihasználtál" :-)

Vagy esetleg te tételesen végignézed a polcon szereplő vonalkódot majd a termékét minden alkalommal 100%-osan :-)? Illetve megnézed minden termék akciós időszakát, hogy beleesik-e?

Tisztelt Bíróság!

A felhasználó csak a portál rejtett "licitálás" funkcióját vette igénybe. Volt egy rejtett input mező az oldalban ami az ajánlott végfelhasználói árat tartalmazta -amit azóta sajnos eltüntettek, így nincs rá bizonyíték-, ahol licitálni lehetett az adott bérlet árára vonatkoztatva :-). Ezt a lehetőséget csak kezdeti "felfutási", népszerűsítési időben "rejthette el" a BKK igénye alapján a fejlesztő cég.
A céljuk bizonyára az volt (lehet ilyet látni az informatikában pl rejtett álláshirdetések stb), hogy a szemfüles felhasználók számára elsőbbséget / kedvezményt biztosítsanak, mely segítségével szélesebb körben ismertebbé váljon a BKK terméke. Ez így is történt, pl a médiákban, közösségi oldalakon stb ingyen reklámhoz jutottak :-D, így a felhasználó indirekt módon többszörös értéket teremtett a BKK számára a hírverés által :-)

A liciten nyertes felhasználó -jóhiszeműen- a fizetést követően jelzést tett a BKK-nak, mivel megítélése szerint az oldal nem felelt meg a 27/2008. (XII. 10.) IRM rendelet "az elektronikus árverési rendszer informatikai alkalmazásának működtetésére vonatkozó részletes szabályokról" c. hatályos jogszabályban foglaltaknak.

Bizonyára a BKK nem jelentette be rendszerének ezen funkcióját az igazságügyért felelős miniszter felé "Az informatikai alkalmazás működtetésének bejelentése és felügyelete" (83/2012. (IV. 21.) Korm. rendelet) szerint.

A BKK haladéktalanul tegyenek eleget a jogszabályoknak és biztosítsák a felhasználó számára a licitálás útján megszerzett elektronikus ingóságot (havi e-bérletet) hivatkozva a sikeres tranzakcióra.
Ezen felül kártérítést helyezünk kilátásba a felhasználó megtévesztése és meghurcoltatása miatt a BKK-val szemben.

Legalábbis az én olvasatomban ez a jogi precedens történt :-)

Üdv:
Csabka

( bandy | 2017. 07. 20., cs – 16:49 )

"Chuck Norris a BKK shopjában jegyet vett a felcsúti kisvasútra!"

( STP | 2017. 07. 20., cs – 22:48 )

Havi 22 milláért reszelgetik ezt a „csodát”.
Egy ütős 8 fős csapat 6-8 havi díjért ennél sokkal jobbat xart volna.

Arroganciából jeles. Nincs senki a BKK / T vezetők környezetében, aki szólna nekik, hogy ez a műsor lassan groteszkbe fordul és akár PR szempontból is célszerűbb lenne nekik visszavonulót fújni? Olyan észérvekkel is próbálkozhatnának, hogy az általános gyakorlattal ellentétes, amit csinálnak és hosszú távon kontraproduktív.

Miután a büntetőjogi feljelentést megtették, onnan már nem lehet visszavonulót fújni.

A rendőrségnek eljárást kell indítani, ez innen már nem visszafordítható.

Max. úgy, ha leszólnak a fentről a várból és leállíttatják a rendőrséggel a szóban forgó vizsgálatot.

--------

Előállított "Vállalati
Internetszennyező"

Szerintem nem.

Szerintem végigviszik, és elhurcolják a srácot vezetőszálon, azzal a szalagcímmel, amivel az origo is már előállt, hogy "megpróbálta tönkretenni a bkk digitális bérletrendszerét", ha eközben facebookon értekezett másokkal, akkor még a nyakába rakják a "szervezetten" szót is.

Van olyan büntetőjogi kategória amit rá lehet húzni a srácra, mert tjképpen gumiszabály így is meg úgy is lehet érteni. A sráccal szépen "megértetik", hogy ha beismeri, kap egy felfüggesztettet vádalkuval és jónapot. Mindenki "Jól jár", és a vezetői tekintély sem sérül, és minden így jó.

A T meg a szerencsétlen meghackelt áldozat szerepét játsza, aki kétségbeesedten védte a felhasználók adatait, és a rendszer biztonságát összességében megőrizte. A BKK-t és az állami szerveket akik a megbízást a rendszerüzemeltetésre kiadták, elfogadták, ki vagy lefizették, azokat meg kussoltatják.

Ahhoz, hogy a rendőrség leszálljon a srácról ahhoz szerintem az kell, hogy odafentről leszóljanak a "Várból", ahhoz meg az kell, hogy az esetet nagy politikai veszteségként kezeljék, amibe be kell avatkozni.

Ha ez nincs, ha csak pár száz fős elszigetelt facebook betyár nyüszögésének látják, akkor hagyják a srácot a gumiszabályozásos törvényekben megfőni.

--------

Előállított "Vállalati
Internetszennyező"

A rendőrségnek eljárást kell indítania a feljelentés alapján. Az ügyész pedig vagy elrendeli határozatban a nyomozást, vagy nem. Ha a feljelentés után úgy dönt az ügyész, akkor akár a megvádolt személy meghallgatása nélkül is hozhat határozatot a nyomozást megtagadásáról. Illetve a nyomozás megszüntetése is lehetséges még a megvádolt személy meghallgatása előtt.

A gyakorlatban, számos esetben előfordult, hogy a megvádolt személyek meghallgatása nélkül zárult le a nyomozás. Javasolt kereső kifejezés: „az ügyészség megtagadta a nyomozást”.

Ahogy ez a dolog most zajlik, nem úgy néz ki, hogy az ügyészség lezárja majd az eljárást...

szerk: Az elmúlt években számos olyan eset volt, hogy ami finoman szólva is megtépázta az ún. magyar ügyészség szakmai hozzáértését és tekintélyét...

Ha a srácnak az ügyészségre kell számítania, akkor szerintem régen rossz...

--------

Előállított "Vállalati
Internetszennyező"

Nem véletlenül írtam a fenti hármast.
Adott a gonosz kölök, aki leégeti a pjt-t, aminek hosszú ideje az első húeztnézzétekmegnek kellett volna lennie a BKK-nál; de a pjt beáll a járműbénázások által képviselt sorba, csak vaskosabb nemzetközi érintettséggel.
És adott a presztizsből a pjt kétes eredményét megrendelő és a kivitelező: előbbi gyorsan hátralép kettőt, én csak álltam és nézelődtem itten alapon, és nem jelenti fel a kivitelezőt az adatkezelési "bakik" miatt, amely kivitelező viszont feljelenti az első nevesíthető kívülállót.
Mire a jard éjjel kiszáll... mert ez egy ilyen súlyú ügy.

Innen jön a fej-vagy-írás: aki ebbe a gépezetbe bekerül, az megtudja, milyen egy sztochasztikus rendszer - még akkor is, ha senki nem akar statuálni, hát még ha akar.
Ha 1-2 napon belül nem szúrja le az ügyészség a jardot, mint a pengős malacot, akkor az azt jelzi, hogy az akarat megvan, és a srác jól teszi, ha elkezdi belőni Strasbourgot a térképen.

Szerintem magától nem fogja.

Ugyanis akkor nem vitték volna be az éjszaka közepén, hanem azzal kezdték volna, hogy "tanú"-ként beidézik. Aztán a tanúkihallgatásnak 2féle vége lehet, vagy megszüntetik az eljárást, vagy folytatják és
pl. gyanúsítottként megvádolják. Általában ez is a szokás amennyire tudom, mert tanúként nem tagadhatod meg pl. vallomástételt.

Ha nincs bűncselekmény, akkor nem vitték volna be éjjel közepén (=erőfitogtatás, elrettentés, tekintélyelv). Azért az elég abszurd lenne, hogy a rendőrség csak úgy kirángat egy 18 éves gyereket éjjel az ágyból, aztán ja bocs, nincs is bűncselekmény. / = ez esetben jelentős rendőrségi túlkapás történt/

Szóval szerintem nem fogják bűncselekmény hiányában megszüntetni az eljárást.

----------

A rendőrség szerint nyilván van bűncselekmény, ez esetben 3féle lehet (értelmezés kérdése XLIII. FEJEZET. fejezet):

- tiltott adatszerzés,
- Információs rendszer vagy adat megsértése,
- Információs rendszer védelmét biztosító technikai intézkedés kijátszása.

A 3-ból az egyik. De ezt meg lehet spékelni még üzleti titok megsértésével, illetve azzal, hogy "közérdekű üzem ellen" követték el.

A kormánypárti csicskasajtó egyértelműen bkk-T* oldalon áll, így a srácnak sok esélye nincs. Úgy tálalják az esetet, mintha ő megpróbálta volna tönkretenni a bkk digitális bérletrendszerét.

--------

Előállított "Vállalati
Internetszennyező"

Ha jól emlékszem konkrétan arról volt szó, hogy a srác a böngésző által küldött http POST -ban cserélt úm. "árat.", mert a bkk ennyire volt tekintettel az adatbiztonságra.

Ezt szvsz egy ideológiailag kellőképpen képzett nyomozó, ügyész értelmezheti úgy, hogy :

"d) elektronikus hírközlő hálózat - ideértve az információs rendszert is - útján másnak továbbított vagy azon tárolt adatot kifürkész, "

Magyarán úgy fogják értelmezni pl. /ex has mondok most valamit:/, hogy a bkk honlap által generált POST http-t ár paraméterét "kifűrkészte", aztán pluszban módosította... De ne legyen igazam !

--------

Előállított "Vállalati
Internetszennyező"

„mert tanúként nem tagadhatod meg pl. vallomástételt”

Azt nem, viszont nem köteles saját magára nézve terhelő dolgokat mondani. Függetlenül attól, hogy tanúként, vagy vádlottként viszik be. Másrészt, kitálalt a nyilvánosság előtt, és ha nem hallgatott el semmit, akkor egy kihallgatás során sem fog tud olyat mondani, ami eddig már nem ismert. De más a helyzet, ha közben megszerezte a BKK/T-System bankszámlájához szükséges belépési adatokat, és átutalt a saját számlájára is némi pénzt. Vagy ha megszerezte a magyar atomrakéták indítókódjait.

De más a helyzet, ha közben megszerezte a BKK/T-System bankszámlájához szükséges belépési adatokat, és átutalt a saját számlájára is némi pénzt. Vagy ha megszerezte a magyar atomrakéták indítókódjait.

Na igen, miután névvel, címmel bejelentette a hibát a bkk-nál. Ez olyan, mintha bankrabláskor személyit adnék át és lakcímkártyát, és kérném a 2-es kassza tartalmát. :-))

Abszolút reális, tényleg valóságnak teljesen megfelel. Hihetetlen hogy erre nem is gondoltam. Mindjárt szólok az alternatív univerzumban ülő másik Osconnak, hogy hozza a gyógyszeremet.

--------

Előállított "Vállalati
Internetszennyező"

Ha a rendőrség a helyzet tisztázása után úgy találja, h nem történt bűncselekmény akkor megszünteti az eljárást. A helyzet tisztázása pedig igényelhet olyan intézkedéseket, mint amik történtek.
Mindegy is, ez egy PR hekk a BKK -s ürge részéről, h a közbeszéd a szegény állítólagos hekker rendőrségi meghurcolásáról szóljon és ne a BKK-s felelősségéről. Lényegében hasonló eredménnyel jár a "tekintélyelvű diktatúra", meg a "fékek és ellensúlyok" idecitálása is. Maszatolás, fókusztévesztés. De lelketek rajta!

A helyzet tisztázása pedig igényelhet olyan intézkedéseket, mint amik történtek.

Értem. Tehát szerinted bűncselekmény hiányában bárkit ki lehet rángatni az éjszaka közepén az ágyából és be lehet citálni a rendőrségre vezetőszálon, mert a bűncselekmény hiányának tisztázása ezt az eljárási módot igényli, és erre semmilyen más mód nem áll rendelkezésre. Ezek szerint ezt szeretnéd mondani. Teljesen jó, köszönöm, hogy ezt tisztáztuk. :-)))

Teljesen megnyugtató ! El is kellene törölni a tanúkihallgatás intézményt, cipeljünk be mindenkit vezetőszálon pizsamában szaré', hugyé'...

ne a BKK-s felelősségéről.

Tessék kormánypárti csicskasajtót olvasni. Nincsen felelőssége a bkk-nak. Mindenféle informatikai bűnözők akarták csak tönkretenni a bkk rendszerét, ami teljesen biztonságos. EZ ÍGY JÓ!!!

tessék itt egy cikk egyszer.

meg egy másik.

és még egy másik.

Egy valag pénzt kifizetnek havonta ezért a rendszerért, amiért valamelyik narancsos nyilván megkapta az apanázst, így a rendszert így ebben a formában minden körülmények között működtetni kell. mert EZ ÍGY JÓ!!

A bevezetés utáni sajtótájékoztatón a bkk és a t-* főmuftik mellett a főpolgármester-helyettes is pofavizitet tartott, hogy minden milyen szép jó és modern. ;-)

Ezért aki mégis hibát talál benne, annak meg be kell fogni a száját minden körülmények között. Ha úgy kell, hogy éjjel rángassuk ki az ágyból vezetőszálon, akkor úgy lesz.

Az egész rendszer így működik. A mostani bkk-s eset csak egy apró példa. A szerencsétlen srác meg a rendszer, és a saját naivitásának áldozata. Példát kell statuálni a sráccal, hogy senki ne merjen visszapofázni, ha valami - akár egy apró dolog mint egy bkk webbérlet - nem működik, ahogy kellene.

--------

Előállított "Vállalati
Internetszennyező"

"Ezek szerint ezt szeretnéd mondani"

Nem, ezek a Te gondolataid, engem semmilyen felelősség nem terhel értük.

"valamelyik narancsos nyilván megkapta az apanázst,"

Vagyunk egy páran akik nem lennének egy cseppet sem boldogabbak, ha egy citromsárga szívű vörös/zöld stb kapná az apanázst.

Ismétlem: az egy rossz reflex, h ha történik valami visszás dolog, akkor arra projektáljátok az orbángyülöletet. Ez az eset is tárgyilagosan, szakmai alapon ítélendő meg és nem politikai aspektusból.

Nem, ezek a Te gondolataid, engem semmilyen felelősség nem terhel értük.

Előszőr azt mondod, hogy a rendőrség bűncselekmény hiányában ejtheti az ügyet, aztán azt, hogy teljesen helyénvaló, hogy - tipped szerint "bűncselekmény hiányában" - elviszik éjjel pizsamában készenléti rendőrséggel.

/Mert tanumeghallgatásos beidézés az olyan snassz dolog, azt csak milliárdos sikkasztásoknál alkalmazzák. ;-)/

Jogod van a véleményedhez, azt gondolsz amit akarsz. :-)
A fideszesekkel ellentétben én úgy gondolom, hogy unalmas lenne ha mind egyformán gondolkodnánk.

akik nem lennének egy cseppet sem boldogabbak, ha egy citromsárga szívű vörös/zöld stb kapná az apanázst.

Vagyunk egy páran akit zavar és zavart mindenféle ilyen jellegű apanázs akármilyen színű is legyen. Meg vannak a fideszesek akiket nem érdekel, hogy a narancsosok mennyi apanázst kapnak, csak a fidesz és kész!
Azt nem tudom, hogy néznek tükörbe, miután a főnöküket naponta kapják rajta hogy már saját magának is ellentmond, de nem is érdekel.

Ez az eset is tárgyilagosan, szakmai alapon ítélendő meg és nem politikai aspektusból.

Ennél az esetnél teljesen felesleges szakmázni onnantól, hogy a t-*, a bkk, és a főpolgármester-helyettes együtt pofavizitelt a csodálatos új webes bkk-bérletről, hogy minden milyen szép jó. Majd szembejött a valóság, 50 ft-os bérlet és társai. Majd nekiestek a 18 éves kölöknek, mert bűnbaknak ideális.

Innentől ez politikai kérdéssé vált, amit jól jelez a kormánypárti csicskasajtó eljárása bkk-bérlet-hack ügyben, amihez asszisztált a rendőrség a politikai ügyekben szokásos túlkapásával. A fideszes haverok, csinovnyikok, haveri cégek, csicskavezetők, csicskafirkászok maguk teszik ezt politikai kérdéssé az intézkedéseikkel, minden egyes megszólalásukkal.

Semmi szükség nem volt pl. a készenléti rendőrös erőfitogtatásra "szakmailag", hacsak az nem, hogy a vezetői tekintélyt óvják, és - ismét - megfélemlítsék a népet. Arra sem, hogy t* biztonsági vezetője maga büszkélkedjen a feljelentésével a tévében, úgy mintha kb. egy sorozatgyilkost kapott volna rajta akció közben.

Meg arra sem, hogy ezt az egész szart ilyen tré állapotban élesben üzembe helyezzék. Az, hogy ez mind megtörtént, az a jelenlegi rendszer következménye. Ez az egész ügy, már nem egyetlen ember, vagy egy cég hibája.

- Igen, a normális piaci cégek ezt valószínűleg másként kezelik, normális piaci versenyben más eljárást alkalmaznak, tán más áron, vagy más szolgáltatást is rendelnek. Valaki írta, hogy a T*-nél régebben ezt másképp is kezelték. De ma Magyarországon se nincs normális piaci verseny, se nincs normális piac, csak ez a torz haver nehorthysta ocsmány korrupt maffiaállam a 2 milliós birkatábor nagy örömére. Itt meg ez így megy. Ha Törökországban, Oroszországban vagy más diktatúrában csinálja ezt a gyerek, ugyanezt az eljárást kapja, mint amit itt kap.

Persze te ezt nyilván nem így látod. Így ebben nem értünk akkor egyet és kész.

- Arról, meg hogy mit összeloptak ezzel a szerződéssel megint és milyen minőségben arról meg annyit hogy a fideszes haverok hozzák a tőlük elvárható minőséget és színvonalat ! Több ezer ilyen ügy volt csak az elmúlt pár évben. Volt tegnap is, van ma is, lesz holnap is. Mert megtehetik következmények nélkül.

Eggyel több, vagy kevesebb mit számít, naponta 10esével esnek ki ilyen ügyek a szekrényből.A polti csicskahivatal meg iktatja az összeset a devnullba.

Ha egy ember ilyen mértékű teljhatalmat gyakorol, mint orbánviktorod, akkor nem kell csodálkozni ha a rendszer visszásságai rá hatnak vissza.

Ha nem módosították volna a büntetőtörvénykönyvet, ha nem gondolkodásra képtelen, csak engedelmességre képes narancsos csinovnyikokkal töltöttek volna fel vezető beosztású pozíciókat, ha nem ölnék ki a kreativitást az ország minden szeletéből, ha a rendőrséget és az ügyészséget nem erőfitogtatásra használnák, akkor ez az egész ügy most mind nem lenne ! De ezt mind megtették, úgyhogy ez van és kész ! Erre szavazott a nép ! Ezt akarta. Szóval ez van. És a fideszeseknek ez biztosan így tetszik, és a srác számukra nem több, mint egy közveszélyes internetes bűnöző. Holnap a kedvenc újságjukban is majd ezt olvassák !

----------

U.I: Nem kell sokat várni és az "orbángyűlölet" is büntetőjogi kategória lesz felségsértés címén kb. 2020-től miután királyság lesz ismét... ;-))

Majd 2020-ban gondolj arra, hogy én megmondtam ! ;-)
Nem Orbán akar majd király lenni persze, hanem a nép akarja majd őt megkoronázni szépen, CÖF és társai indítják majd a társadalmi kampányt, / pl. azon a címen, hogy 2/3 parlamentben úgyis egypártrendszer lesz, feleslegesen lassítja a jogalkotást/ aminek a végén a boldog birkasereg örömmel tapsol, ahogy a koronát a fejére helyezik....

off:
Te azt hiszed, hogy orbánt én vagy a hozzám hasonlók a személye miatt gyűlöljük, ez a te tévedésed, én az egész mocskos neohorthysta maffiaállamát gyűlölöm úgy ahogy van, mert semmi másra nem épül, mint hogy egy kb. 2 milliós tömeggel a háta mögött úgy uralkodik a maradék lakosságon, hogy azt szép lassan minden jogától megfosztja, elveszi tőle az életteret, és a lehetőségeit. És nekem ez nem tetszik.

--------

Előállított "Vállalati
Internetszennyező"

Előszőr azt mondod, hogy a rendőrség bűncselekmény hiányában ejtheti az ügyet, aztán azt, hogy teljesen helyénvaló, hogy - tipped szerint "bűncselekmény hiányában" - elviszik éjjel pizsamában készenléti rendőrséggel.

Ha egyszer a rendőrségre feljelentés érkezik és az alapján valószínűsíthető a bűncselekmény és megalapozottan gyanúsítható valaki az elkövetésével, akkor a rendőrség elő fogja keríteni az illetőt. Igen, pl. kimegy a lakására és beviszi. Továbbá lefoglalja bizonyítékokat stb. Ugyanis ez a dolga. Aztán ha az eljárás során tisztázódik, h mégsem történt bűncselekmény, akkor megszünteti az eljárást. A rendőrséget a feljelentést követően eljárási kötelezettség terheli. Ha nem tudja élből elutasítani a feljelentést, akkor lépnie kell. Na most, h Neked erről megvan a véleményed, az még rendben lenne, de az már nincs, h úgy teszel, mintha azt én írtam volna.

Vagyunk egy páran akit zavar és zavart mindenféle ilyen jellegű apanázs akármilyen színű is legyen.

Minden korrupcióra való hivatkozás ab ovo magában hordozza annak ígéretét, h a hivatkozó - túl azon, h elítéli a korrupciót - képes lenne egy korrupció nélküli rendszert felépíteni és működtetni. Csakhogy ez egy oltári nagy blöff, egy ordas nagy hazugság. Ugyanis nem képes erre. A legtöbb amit el tudna érni, h az ő rendszerében a saját emberei lennének a korruptak. A korrupciónak az alternatívája nem a korrupció mentesség, hanem egy másik korrupció - legalábbis a képviseleti demokrácia keretei között.

Hogyha Neked tényleg az lenne a fontos BKK mobiljegy ügybe a felelősök belebukjanak, akkor tárgyilagosnak kéne maradnod és szakmai alapon kéne kritizálnod őket. Így is épp elég muníciót szolgáltattak, amit el lehet rájuk lődözni. És nem próbálnád politprop célokra felhasználni az esetet, mert az egyrészt fókusztévesztés, másrészt a szekértábor mentalitás miatt azt a veszélyt is magában hordozza, h végül politikai alapon azok is védelmükbe fogják venni a felelősöket, akik egyébként szakmai alapon kritizálták volna őket.

"A legtöbb amit el tudna érni, h az ő rendszerében a saját emberei lennének a korruptak."

Ennél azért _jóval_ többet is el lehet érni. Mondjuk pár (tíz)ezermilliárdot nem olyan lehetetlen nem kivenni az államkasszából. Még ha nem is felelhet az ember a legutolsó hivatalnoka becsületéért.

Először is:

Az rtl híradónak nyilatkozott a srác, hogy nem éjjel vitték be, hanem reggel 7kor mentek érte az NNYI-től, és elmondása alapján a kihallgatás után lett gyanúsított. /tehát technikailag valószínűleg tanúkihallgatásnak indulhatott, aztán utána lett gyanúsított/. Jó,hogy a sajtó tegnap tök másról cikkezzett, és a rendőrség sem sietett cáfolni. Ezt a hírt tegnap megettem. mea culpa / mondanám ha nem lennék ateista/ a rendőrségnek. :-)

A srác említette, hogy volt házkutatás is. / úgyhogy ha volt másolt, torrentezett játék, windows is a gépen, akkor a srác rendesen rákúrt szvsz, mert azt most hozzácsapják. :-(( /

akkor a rendőrség elő fogja keríteni az illetőt. Igen, pl. kimegy a lakására és beviszi. Továbbá lefoglalja bizonyítékokat stb. Ugyanis ez a dolga. Aztán ha az eljárás során tisztázódik, h mégsem történt bűncselekmény, akkor megszünteti az eljárást.

Szerintem te összekevered azt, amikor valakit "bizonyítottság hiányában", vagy "bűncselekmény hiányában" mentenek fel. Ha nincs bűncselekmény, akkor nem lehet gyanúsítottja sem annak, ami NINCS, max. az adott ügyben "tanúkihallgatás".

A srác esetében szerintem a bűncselekmény technikailag amúgy megáll a 2012/C törvény XLIII. /2 miatt, amivel a rendőrség vádolja. "Információs rendszer vagy adat megsértése". /tudom, hogy ezzel a véleményemmel kisebbségben vagyok, de próbálom megindokolni, hogy miért így látom:/

Ez a szabály: 

Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

(2) Aki

a) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy

b) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,

(5) E § alkalmazásában adat: információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja.

A bíróság, ügyészség, rendőrség szerintem úgy fogja értelmezni, hogy a http POST kérés böngészőben történő átírásával "adatot" /ár paramétert/ változtatott meg, és ezért elmeszelik majd a srácot 2 évre 3 évre felfüggesztve (tipp!). /hacsak a várból nem szólnak le, mert politikailag kezd kényelmetlenné válni a rendszer számára, ahhoz meg egy webbérlet piszlicsáré kategória!/

Ezt nyilván súlyosbítja, hogy közérdekű üzem ellen követték el, de enyhítik az egyéb körülmények, minthogy jelentette, tapasztalatlan, nem saját hasznára, bűntetlen előélet, stb...

-------------

Én úgy látom ennél a jogi pontnál ugyanis nincs benne az etikus hackelés lehetősége a rendszerben, hogy jószándékúan figyelmeztetik a tulajdonost/üzemeltetőt biztonsági hiányosságra, ez a törvényből úgy fest teljes mértékben hiányzik.

még egyszer a link.

A másik opciónál "Információs rendszer védelmét biztosító technikai intézkedés kijátszása" benne van, hogy "(2) Nem büntethető ... meghatározott bűncselekmény elkövetője, ha - mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna - tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását." .

De egyrészt a srácot nem ezzel vádolják, másrészt se a bkk, se a t-s* nem hatóság. A törvénybe a hatóság mellett a rendszer üzemeltetőjét és/vagy tulajdonosát is bele kellett volna venni szerintem. Ez szerintem jogalkotói mulasztás /=szar a törvény/. Illetve az sem tiszta, hogy pontosan ki lenne az illetékes "hatóság" ilyen ügyben. NNYI, rendőrség, stb. (??) Mert van annyi "hatóság" már mint istennyila.

---------------

Hogyha Neked tényleg az lenne a fontos BKK mobiljegy ügybe a felelősök belebukjanak, akkor tárgyilagosnak kéne maradnod és szakmai alapon kéne kritizálnod őket.

Akik politikai alapon hoznak döntést, pl. megrendelés körülményei, teljesítés stb. azt nem lehet szakmailag kritizálni. Én is köztulajdonban álló cégnél dolgozok, mint minden ilyen helyen, nálunk is vannak ilyen politikai tisztek, - nyilván a bkk-nál is vannak - akiket nem lehet szakmailag kritizálni, mert érinthetetlenek. Ők egyszerűen nem hibázhatnak. Ha politikailag nem válnak kényelmetlenné, képtelenség elmozdítani ezeket az embereket, ha csak nem feljebb buktatják.

Akinek nem kell szakmai követelményeknek megfelelni, azt nem lehet szakmai alapon kritizálni. Illetve lehet, csak nincs értelme, mert a sorsa nem ez alapján fog eldőlni.

végül politikai alapon azok is védelmükbe fogják venni a felelősöket, akik egyébként szakmai alapon kritizálták volna őket.

Ez így is lesz. Biztos lehetsz benne, hogy az a narancsos tótumfaktum, aki végül megkapta az apanázst a szerződés lebonyolításáért, az továbbra is a helyén marad! A BKK felett felügyeleti kontrollt gyakorol elvileg a fővárosi önkormányzat, személyesen talán pont az a főpolgármester-helyettes aki együtt vigyorgott a t-* és a bkk vezetőjével mikor bejelentették a webbérletet mint új csodaszert.

A rendszer így működik. Egy tetszőleges tisztáldozatot, bűnbakot persze ki lehet lőni, de hogy a felelős a helyén marad afelől én biztos vagyok.

Az elsődleges felelős elvben az, aki "átvette a munkát", és visszaigazolta a szerződés teljesítését hogy megfelel az elvárt kívánalmaknak, minőségnek.

Csak ugye köztulajdonban álló cégeknél, közintézményeknél ez sajnos úgy szokott menni, hogy föntről jön a telefon az elvileg felelős személynek, hogy "írd alá és kuss!", mert ez határidőre kell, és az akármilyen méltóságos/kegyelmes főméltóság is sürgeti. Ez nem narancsos találmány, ez más színben is így volt, csak most mondjuk hatványozottabban így működik...

---------

U.I:

A T-system most már hiába mosakszik, a feljentést nem lehet meg nem történtté tenni. / = szar a törvény mint látszik, de ez a jogalkotó felelőssége/. Ugye ők azzal védekeznek most, hogy belső szabályzat miatt elérte azt a szintet, amikor ezt meg kellett tenni.

1. Hol ez a belső szabályzat, ki hagyta jóvá, mikor lépett hatályba? 2. Akkor miért a biztonsági igazgató verte a mellét a sajtótájékoztatón szűk egy hete, hogy ő egy személyben tette meg a feljelentést majdhogynem személyes felháborodásában ?.

--------

Előállított "Vállalati
Internetszennyező"

"Tarlós István átfogó vizsgálatot kért a BKK online értékesítési rendszerének ügyében"
http://index.hu/belfold/2017/07/22/tuntetest_hirdetnek_hetfore_a_bkk_el…

Vagyis az történt, amit írtam korábban. Lejárt a határidő amíg ezek a faszok saját hatáskörben intézkedhettek a botrány elsikálásáról. Az elöljáró beavatkozott, most majd szoronghatnak a szőnyeg szélén - Tarlós nem az a visszafogott típus, van okuk a betojásra.
A keménykedő hangnem is rögtön bocsánatkérésbe csapott át érdekes módon.

Sztem most Tarlóst kéne bombázni, h mégis hogy képzelik hogy olyan rendszert vesznek át a BKK-nál a T-től, ami nem éri el egy gimnáziumi számítógép szakkör szakmai színvonalát?

Nem akarok jogászkodni itt, más szálban már eléggé ki lett tárgyalva a dolog. Józan paraszti ésszel a rendőrségnek meg kell szüntetni a nyomozást bűncselekmény hiányában. Természetesen a közben született BKK elleni feljelentéseket (személyes adatokkal való visszaélés asszem) pedig ki kell vizsgálni. Aztán majd még jöhet rá a Tarlós féle vizsgálat alapján születő esetleges feljelentések.

Kétségtelen, hogy a kormánypárti csicskamédia részéről is van némi elmozdulás a korábbi "tönkretették a bkk webbérlet rendszerét" c. agymosodából..., de én még nem örömködnék.

Józan paraszti ésszel a rendőrségnek meg kell szüntetni a nyomozást bűncselekmény hiányában.

Még egyszer, hátha leesik:

az ügyben a Készenléti Rendőrség Nemzeti Nyomozó Iroda információs rendszer vagy adat megsértése vétség elkövetésének megalapozott gyanúja miatt indított nyomozást, amelynek határideje 2017. szeptember 15.

Tehát a rendőrség szerint bűncselekmény történt, és már van gyanúsítottjuk. Ha álláspontjuk szerint van bűncselekmény, akkor nem fogják bűncselekmény hiányában megszüntetni a nyomozást, max. "bizonyítottság hiányában" tudják innen már kiszedni a srácot arcvesztés nélkül, hogy ő a fent említett bűncselekményt nem követte el.

Gondolj bele: Hogyan akarsz gyanúsítottként kezelni valakit egy eseménnyel, ami nem is bűncselekmény ? Simán kipereli belőled a szart is kártérítés címén. Meggyanúsítod valamivel, ami nem is bűncselekmény ? Simán hatósági túlkapás.

Van kiskapu, amin a rendőrség kibújhat - pszt, most ötletet adok - mert állítólag több támadás is érte a gyerektől függetlenül a bkk webrendszerét.

A rendőrség mondhatja azt is, hogy valójában ezen ügyekben vizsgálódik, és ezekben a srácot nem találja mégsem bűnösnek, így "bizonyítottság hiányában" ejtik a gyanúsítottak köréből, mert a házkutatás, és a srác informatikai eszközeinek átvizsgálása ezt a gyanút mégsem támasztotta alá. És más ismeretlen tettes után folytatják ez ügyben majd a nyomozást...

De ehhez szerintem az kell, hogy a várból leszóljanak, hogy igen, ezt a verziót kérjük. Nem fognak a készenléti rendőrségen ennek ellentmondani !

Erre szvsz meglenne az ok, végül is részben jogalkotói mulasztás is, hogy az etikus hackelés helyzete jogilag teljesen rendezetlen. Amit részben összetákoltak, az gyakorlatban pont használhatatlan. Tehát ha még szoktak a várban tükörbe nézni, akkor illene valami ilyesmit intézni szerintem...

Az elöljáró beavatkozott, most majd szoronghatnak a szőnyeg szélén

Csak nehogy az elöljáró pont azt a helyettesét bízza meg a vizsgálattal, akinek elvileg dolga lett volna a BKK felett a tulajdonosi felügyelet gyakorlása, és aki nem mellesleg együtt vigyorgott a bevezetéskor a bkk és t* illetékeseivel. ;-)

A t* és a bkk most valami belső szabályzatra hivatkozik. Ha tényleg volt ilyen, akkor a T-t nyilván nem, de a bkk-ét biztosan tulajdonosi (=állami) felügyelet részéről kellett ellenjegyezni / ez minden állami cégnél így van, mindig is így volt /. Azt meg olyan ember írta alá aki érinthetetlen még Tarlós számára is. /Ez minden állami cégnél így van/ Szóval ez a vizsgálat lehet egy kétélű kard, ez visszaüthet... (!). Én ehhez ezért nem fűzök nagy reményeket.

A keménykedő hangnem is rögtön bocsánatkérésbe csapott át érdekes módon.

Duma, duma, duma ! Késő!

Rendőrségi vizsgálatot a Tarlós sem fog leállítani már, azt max. a várból !.

Te komolyan olyan naív vagy, hogy a fideszes állami cég, fideszes politikusok által ún. tulajdonosi jogkörrel felügyelve a fideszes haveri cégtől jócskán túlárazott megbízási szerződésért és azok látványosan gyenge teljesítési színvonaláért valakit ma Magyarországon elő fognak állítani vezetőszálon ?

Ezer ilyen sztori volt már, és mind a polti iktatóban végezte. Miért pont most lenne ez más ? Én ezt még mindig nem látom.

Az abszolút maximum amit el tudok képzelni, hogy minőségi kifogások miatt a T* fizet majd valamennyi kötbért a fővárosnak. Oszt jónapot !

(személyes adatokkal való visszaélés asszem)

Nekem nem úgy tűnik hogy ez büntetőjogi kategória.. Max. sérelemdíjért perelhetnek a regisztrált felhasználók szerintem pl. ez alapján. Ezt érdemes lehet elvinni egy ügyvédhez. Összeállnak páran pertársaság, stb.
Ez összejöhet. De csak azoknak akik pl. a cikk megjelenéséig regisztráltak, utána mondhatja a T* / BKK hogy ezt a hibát már javította.

(1) Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak kárt okoz, köteles azt megtéríteni.

(2) Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az adatkezelőtől sérelemdíjat követelhet.

--------

Előállított "Vállalati
Internetszennyező"

"Te komolyan olyan naív vagy, hogy..."

Nem mintha azt kívánnám, de ennyi jóhiszeműséggel a háta mögött Fletó most a negyedik miniszterelnöki ciklusát töltené, és gondtalanul készülne az ötödikre, az archívumokban pedig a 2006-os év legdurvább hírei a karácsonyfatüzek volnának.

Én nem értem miért olyan nehéz felfognod! Az eljárás közben derül ki, h nem történt bűncselekmény. Az elején úgy gondolták, h történt, de amint tisztázódott a helyzet belátták, h tévedtek. Ügy lezárva. Ha a rendőrség hülye ehhez, akkor majd leszólnak nekik várból és legalább Te is megnyugodhatsz, h úgy mentek a dolgok, ahogy sejtetted.
Ha annyira jogászkodsz már itt, akkor talán nem ártana bemutatnod, h mik voltak a hekkerünk jogosultságának a keretei! Ugyanis ez egyáltalán nem nyilvánvaló ( emiatt állhat elő, h kezdetben a rendőrség bűncselekményt vizionál és utólag majd szabadkozni fog) , és hát abban a kérdésben, h történt-e bűncselekmény az a döntő, h ezen - nem ismert - jogosultsági keretek vajon meg lettek-e sértve.

Tehát mik a jogosultsági keretek szted?

Amit Tarlóst illeti, öreg róka ő már ahhoz, h taknyos zsúrpubik szennyesét mossa. Gondolod, nem lát át ezeken a faszokon- függetlenül attól, h ki készíti a jelentést? És én vagyok naív? Na hisz :DD

Attól viszont a belem kifordul, h tetves szarháziak hekkerünk melletti kiállás látszatával kormányellenes tüntetésekre hergeljék a jónépet!

Már nem gyanúsított a BKK jegyrendszerét átverő fiatal

Az ügyészség a közlés szerint – a rendőrséggel szemben – megállapította, hogy a júliusi, 50 forintos bérletvásárlással a célja valóban a biztonsági rés feltárása és ennek közlése volt a BKK felé, ezt két e-mail is bizonyítja. Ahhoz viszont, hogy kétséget kizáróan meggyőződjön a rendszerhibáról, szükséges volt a vásárlás befejezése.

Az ügyészség azt is megállapította, hogy ez a „hekkelés” vezetett az informatikai rendszer kijavításához, kizárva a továbbiakban a hasonló akciókat. A cselekmény ugyanakkor nem veszélyes a társadalomra, így nem is lehet bűncselekmény, hanem közérdekű bejelentésnek minősül, ami büntethetőséget kizáró ok.

https://mno.hu/belfold/mar-nem-gyanusitott-a-bkk-jegyrendszeret-atvero-…

----------------

Most - miután kiderült h az éjjeli rendőrségi bevitelről szóló hír kacsa volt, továbbá az ügyészség megszüntette az eljárást a "hekkerünk" ellen- elvárnék némi önkritikai gyakorlatot részedről. Továbbá annak belátását, amit kezdetektől mondtam, h az egészet szakmai alapon kellett volna megítélni, ugyanis minden más aspektus a lényegről terelte el a figyelmet - különösen a hekkerünk ellen indított eljárás. És mindenki vétkes aki vitával, tüntetéssel stb asszisztált a figyelem eltereléséhez.
Üdv!

"... és elmondása alapján a kihallgatás után lett gyanúsított. /tehát technikailag valószínűleg tanúkihallgatásnak indulhatott, aztán utána lett gyanúsított/."

Ez csak apró technikai részlet, amelynek az az oka, hogy tanúként nem hazudhat, gyanúsítottként viszont már igen.

Ááááácsi! Itt arról van szó, h a geca BKK-s próbál még nagyobb "farkast kiálltani". Ne veszítsük el a fókuszt: mennyi közpénzt költöttek el erre a szarra? És miért van még helyén a felelős? Miért nem őt vitték el a rendőrök? Ne engedjük h etikus-hekker vs. rendőrség konfliktussá silányuljon a dolog!

"mennyi közpénzt költöttek el erre a szarra? És miért van még helyén a felelős? Miért nem őt vitték el a rendőrök?"

Ahol nem működnek a fékek és ellensúlyok, ott nem működnek.
Erre lehet túljátszott "áááh... fellengzős duma" sóhajjal legyinteni, de csak amíg nem a saját gangon kopognak a bakancsok, mert az ember szót emelt, vagy csak lelkesedni rest volt.

Sikerült fókuszt tévesztened Neked is! Fékekellensúlyozni legalább olyan badarság ebben az ügyben, mint a rendőrségi feljelentés. A rendőrség semmiről sem tehet, csak a dolgát teszi. Kapott egy bejelentést és azt kivizsgálja. Persze ha valaki kényszeresen rendszerkritikát akar artikulálni, egy szakmailag megítélendő kérdést politikává akar konvertálni, akkor csak abban lehet bízni, h ez a fókusztévesztés is értékelve lesz majd a publikum által.

"A rendőrség semmiről sem tehet, csak a dolgát teszi. Kapott egy bejelentést és azt kivizsgálja."

Van aki szerint a rendőrség/ügyészség nem pártatlanul végzi a dolgát, hanem a narancs felé elfogultan. Erre számtalan példát lehetne hozni.

Ez esetben nem "a rendőrség semmiről sem tehet", hanem "a nénikéjét a rendőrségnek (és a propagandagépezetnek) hogy ezt játsszák a fiúval".

Közpénzből kifejlesztettek egy szart, jóhiszeműen jelezte a súlyos hibát egy állampolgár, erre nemhogy megköszönnék neki, hanem beviszik a rendőrök. A piacból élő cégek ilyenkor jutalmat szoktak adni: http://hvg.hu/tudomany/20170721_Megszolalt_az_egyik_Prezialapito_is_a_B…
Sok cégnek van programja, mely során jutalmazzák a bugokat megtalálókat.

'Egy iskola ösztöndíjat ajánlott szerkesztőségünkön keresztül a fiúnak:
"Olvastuk a cikketeket, és mivel mi nem tudjuk felvenni a kapcsolatot a fiatallal, aki etikus hekkerként jelezte a hibát az illetékeseknek, ezért rajtatok keresztül szeretnénk felajánlani neki egy ösztöndíjas helyet iskolánk szoftverfejlesztő vagy hardver programozó kurzusára. Sok szeretettel várjuk a megkeresését!" – írták.'

Hát ez az, ezt kéne már felfognia minden ret(artdált|rográd) szégyentáblásnak.

Kb óránként +1000 1 csillagos értékelés, szép kis csúcs... mivel a magyar T-systems facebook oldalán le van tiltva a véleményezés, a német anyavállalat kapja az egycsillagokat, eddig ötezret.
No meg ez alatt a videó alatt a kommentek
Tényi István közérdekű bejelentő üldözése szabálysértés gyanúja miatt tett feljelentést ismeretlen tettes ellen.

( harlequin | 2017. 07. 21., p – 17:49 )

Az a legszebb az egészben, hogy miután a weboldalat elbaszták, jó kommunikációval még mindig kijöhettek volna belőle... de nem :)

Vannak dolgok, amihez született tehetség kell, mert nem lehet tanulni... Egy ilyen helyzetből ilyen szarul kijönni, na az pont egy ilyen dolog. ;)
Egyébként számomra döbbenetes, hogy a mostani kormányzat mennyire nem érti, hogy hogy működik ez az egész internet nevű izé. Se technológialilag, se társadalmilag...

( manfreed (nem ellenőrzött) | 2017. 07. 21., p – 19:35 )

A történetben nem csak az a szomorú, hogy nem csak mindent elbasztak, amit lehet, rossz kód, elsietett indulás, rossz kommunikáció, arrogáns hozzáállás, bűnbak keresése és kikiáltása...

Még csak nem is az, hogy kábé mindegyik elbaltázott lépésnél fordíthattak volna egyet a dolgon megfelelő kommunikációval...

Hanem az, hogy ez is csak el fog csendesedni, és minden folyik tovább úgy, mint eddig. Kaptunk egy instabil szar rendszert, de már előtte is voltak életveszélyes szerelvények, pályák, és a morgolódás, anyázás, fikázás megy, de megoldás eddig nem kerekedett, és lassan belesüppedünk az elfogadásba.

Vajon ezen mi tud változtatni?

Vajon miért nincs még feljelentve a BKK vagy a Tsys adatkezelési problémák, életveszélyeztetés, stb miatt?

Tekintve hogy nem iszom alkoholt egyáltalán, kicsit mellétalált az írásod. Egyébként hogy mit teszek, jelenleg egy fórumon boncolgatom a problémát.

Egyébként te mit teszel? Csak mert én nem jöttem ide megkérdőjelezni senkinek a hozzáállását a dolgokhoz, beszélgetést indítottam egy problémáról (ha kérded, hogy mit teszek, _többek közt_ ezt). Messze van a sírástól ez, és eléggé sajnállak, ha számodra minden panasz, minden ilyen téma sírásnak számít.

Pusztán rávilágítottam annak a magyar mondásnak az igazságára, miszerint "Gyáva népnek nincs hazája!". Ennek mentén mindent, de mindent lenyel ez a nép, lehajtott fejjel megy és tűr. Nem rólad van szó, hanem a még itthon élőkről. Ez egy jelenség vagy ha úgy tetszik, a kultúránk része. Tehát nem talált mellé az írásom, csak nem értetted meg a kérdésben rejlő mondanivalót. Ez lehet az én hibám maximum. Számomra minden ilyen panasz és téma sírás. Üres fecsegés. Menj el tiltakozni, írj petíciót és ne csak te, hanem még pár száz ezer vagy millió. Máris lesz foganatja. És ha már visszakérdeztél, akkor elmondom, egyik porcikám sem kívánja, de hétfőn elmegyek a tüntetésre. Mert ha itthon ülnék a vacsi után böffentve nézni az esti filmet, akkor milyen jogon sírnék? Hát nem?

"Nem rólad van szó, hanem a még itthon élőkről."
vs
"Te mit tettél azon kívül, hogy itt siránkozol?"

"Menj el tiltakozni, írj petíciót és ne csak te, hanem még pár száz ezer vagy millió. Máris lesz foganatja."

Egyelőre nem tudok tiltakozásról, leszámítva az online formáit, amiben én is részt vettem (lásd a témához kapcsolódó vállalatok facebook oldalán az értékelést, kommenteket, stb).

"Mert ha itthon ülnék a vacsi után böffentve nézni az esti filmet, akkor milyen jogon sírnék? Hát nem?"

Teljesen igazad van ebben. Egyébként ahogy két sorral feljebb is olvashatod, nem tudtam hogy lesz, bővebb infót tudsz adni?

nemtudom, de mintha ma azt hallottam volna a posványból, v. talán tusványból?, . nemt'om - hogy az az ország amelyik nem tudja megvédeni a határait nem is létezik.

tehát már elkéstél, mert már rég eladták letelepedési kötvényért, tehát akár gyáva akár nem, már nincs hazája...

már tökmin1.

már csak azzal lehetne segíteni a dolgokon, hogyha kikiáltanánk a 4. magyar köztársaságot. - a 3. romjain -

Miért, szerinted mi értelme lenne, ha ő, te, vagy én feljelentenénk a BKK-t vagy a T-t a történtek miatt? Én pl. nem is használom, semmi jogom nem lenne feljelenteni, de ez mellékes. Nem történne semmi, ki sem vizsgálnák az ügyet, "bűncselekmény hiányában" már ejtve is lenne.

Helyettünk valami társadalmi (akár civil) szervezetnek (annak jogi csapatának) kellene ilyen esetben jogilag fellépnie. Ők talán tudnának tenni valamit (bár a kormányzati megítélésük miatt lehet, hogy azt a bejelentést is a szőnyeg alá söpörnék)
Ne legyenek illúzióid, ha ez egy évvel később történik, a GDPR hatályba lépése után, már régen fel lennének jelentve több oldalról is. Jelenleg több jogi cég is gyúrja ki magát a GDPR-ból, hogy vagy segítsen a beperelteknek, vagy minél több pert nyerjen egy év múlva...

Szerinted mit kellene tenni, ami célravezető lenne és,
- a BKK és a T-Systems kiáll és nyilvánosan elmondják, hogy mekkora arrogáns seggfejek voltak, és elnézést kérnek,
- viszavonják a feljelentést,
- a srácot ne vegzálják,
- a weboldalt pedig baromi gyorsan kijavítsák?

El kéne menni szavazni jövő tavasszal és nem azért sírni, hogy nincs kire. :)
Előtte meg mondjuk le kénye ülni és megegyezni a pártoknak, hogy közös jelölt indul mindenhol, és hogy 2 év alatt kipaterolják az előző klientúrát, lesittelnek mindenkit akit kell, vagyonelkoboznak ahol kell, visszaállítják a szavazói körzetek határait, majd előrehozott választásokat írnak ki 2 év után, ahol mindenki önállóan indulhat. Tudom, bilibe lóg...
Most az van, hogy a vezető pozíciókban olyanok ülnek akiknek a pártja agresszív leugatással kommunikál izomból. Koppantak, hogy ezúttal ez nem jött be.

De tényleg nincs kire. Van a jobbik, meg mindenki más, akinek a fizetésem még nagyobb része kell osztogatásra. Ebben az országban mindenki balról akarja előzni a kádárista kormányt. A baloldal halálát vízonáló szólamok annyira nem igazak, hogy ebben az országban gazdasági értelemben csak baloldal van, a különbség csak a társadalompolitikai máz keresztény-mélymagyartól szélsőliberálisig.

Sztem minél tovább duzzad ez a dolog és minél tovább napirenden marad - szerencsére a dilettáns BKK vezér sokat tesz ennek érdekében - annál nagyobb valószínűséggel küldik meg neki a selyemzsinórt. Mán egy tekintélyelvű rendszerben ez így szokás. Kap az ipse pár nap haladékot, h elsikálhassa a botrányt, de ha látszik, h nem képes megbirkózni a helyzettel, akkor az elöljáró fogja magához vonni a dolgot és megnyitni számára a kiérdemelt kanálist.
Szóval az lenne a lényeg, h minél tovább felszínen legyen tartva a BKK-s ember felelőssége. Erről kell cikkezni, erről kell véleményt artikulálni. Szakmai alapon ízekre szedhető a manusz. Nincs szükség a rendőrség ekézésére, korrupt Fideszezésre stb.

'Nincs szükség a rendőrség ekézésére,'

már annak a rendőrségnek az ekézésére, amelyik fegyveres - vélhetőleg automata - emberek 'százait' küldi ki 'egy azaz 1 darab' 18 éves priusz nélküli stb stb csávó elfogására, 10 000 mínusz 50 Ft. értékben elkövetett csalás büntette miatt?

mint a nő akit azzal gyanúsított a bkv, hogy hamis - az egyébként bankkártyával náluk vásárolt - bérlete, és erre 24 órát ölt a jardon.

vitatható, hogy valójában ki is itt közveszélyes bűnöző..

Erre mondta a B. László, töritanár mindig: hogy nem a kútba szart, csak a kávájára, és belelökte.

Amúgy tudod, hogy ma, itten, Magyarországon egy nyamvadt gimnáziumi igazgatói, de egy tyúkól méretű városszéli posta vezetői állását sem lehet pártjóváhagyás (ami persze megint nem a kormány, csak a kávájára, és bele) nélkül elnyerni vagy megtartani, vagy a Hold túloldalán tartózkodsz, hogy ne zavarjon a valóság?

Hát ugye, ahogy írod is: pártjóváhagyás (ami persze megint nem a kormány...

Nem kéne összekeverni a különböző fórumokat! A kormány nem azonos a Fidesszel; a kormánypártok a kormánnyal; A frakciók a kormánypártokkal; Orbán Viktor a kormánnyal és így tovább..

MOst mindegy h milyen elképzelés mentén, de elfogadhatatlan hiba egynek és egységesnek tekinteni ezeket az intézményeket/személyeket. A valóságban érdekellentét áll fent köztük, és nem akarnak a sajátjukból engedni. Kész megváltás a korrupció, mert legalább van valamiféle szervező elv a képviseleti demokrácia káoszában. Mondjuk elég szomorú, de ez a helyzet.

Ennél érdekesebb itt, h ha én vagyok [részben] a fejlesztés finanszírozója és végfelhasználója is egyszerre a BKK mobiljegy értékesítő rendszerének, akkor miért nincsen jogom meggyőződni arról, h azt nem lehet pl az ár testreszabásával:) átverni?

mert a kontraszelekció már mindenhova elért.

amikor kiderült hogy a szoftver átadási határideje közeleg, akkor már késő volt visszaváltani a 12 tokiói konferencia és szállodafoglalás árát. tehát megkérték a szomszéd 10 éves fiát, hogy 30 rugóért dobjon össze v.mi szart :)

ez persze csak egy összeesküvéselmélet:))

de az ellenség keze betette a lábát, és ezért politikai üggyé vált.

Kb.
Meg hát... azt a rendszert valaki át is vette...

Jó összjáték, hogy a T vállalja (kíváncsi volnék a szerződés volumenére, amiért ilyen seperc alatt előre lépett), de az tenné be a kaput, ha mától minden eladó és szolgáltató hátraléphetne kettőt, hogy a vásárló azokkal vitázzon, akik a szolgáltatónak szolgáltatnak kétes minőségben.
Elhiszem, hogy kényelmes volna, de a rabokét.

( nvik | 2017. 07. 21., p – 21:37 )

A hörgölődők remélem az elmúlt 11 évben folyamatosan követték a magyar jogszolgáltatás haldoklását, az erőszakszervezetek egyre inkább elharapódzó, következmények nélküli jogtiprásait, a jogszerűtlenül börtönbe zárt vagy más módon ellehetetlenített honfitársaik történeteit pártállástól-világnézettől függetlenül (v.ö. "minek ment oda"), és nem csak most sápítoznak ezen az egy eseten hogy hát ez meg hogy került ide hotyképzelik. Persze az index meg a 444 a többiről nem írt (vagy ha igen, akkor csak a fenti Kuncze-idézet szorgalmas ismétlése közepette), de ha idáig tart a magyar társadalom világ-, és társadalomismerete (egyébként igen, idáig tart), akkor igazán felesleges most álszentül nyafogni.

Tetszettek volna az épp aktuális orbánozós-fideszes-ellopós, TV-ből áradó gumicsontokon rugózás helyett mondjuk végigcivilkedni a jelzett időszakot, és akkor nem egy halott igazságügyi rendszerrel megáldott országban élnénk, ami bármikor bárkit következmények nélkül agyontaposhat a törvények teljes leszarása mellett.

Egyétek meg amit főztetek.

Aki meg módosított POST-okat küldözget be különféle szerverekre az jobb ha tudatosítja magában a TOR létezését, v.ö. opsec.

mert miert is kellett volna tor-t hasznalnia? etikus dologrol beszelunk, nyilvan nem kerte fel senki hogy pentesteljen, de akkor sem igy kene mukodnie, felfedezte a hibat, volt POC jelezte a bkk-nak es ennyi. vicc ez az orszag es tenyleg egye meg mindenki amit fozott.

mas - bbk.hu meg mindig nem megy :)

( opt | 2017. 07. 22., szo – 10:12 )

Már legalább egy tucat nagyon amatőr hiba derült ki.
Konkrétan kik csinálhatták a rendszert? Hány óra volt az elkészítésére? Tényleg ekkora az informatikus hiány, hogy a portásra kellett bízni?

Ez is van legalább 40 éves darab, de igazabb, mint a születésekor:

Megkérdezik a magyart, az oroszt és az amerikait, mennyiért lövetnék ki magukat az űrbe.
- Én harmincezer dollárért!
- És mit kezdesz harmincezer dollárral?
- Először is adnék tízezret a gyereknek, tízet a feleségemnek, tízet pedig megtartanék.
- És te, amerikai, mennyiért lövetnéd ki magad az űrbe?
- Hatvanezer dollárért.
- És mit kezdenél hatvanezer dollárral?
- Először is adnék húszat a gyereknek, húszat a feleségemnek, húszat pedig megtartanék.
- Hát te, magyar, mennyiért lövetnéd ki magad az űrbe?
- Kilencvenezer dollárért!
- És mit kezdesz kilencvenezer dollárral?
- Adnék neked harmincat, mert te szerezted az üzletet, harmincat megtartanék, harmincért meg kilőnénk a Vologyát!

( Smiley | 2017. 07. 22., szo – 10:58 )

Ma a valtozatossag kedveert a t-systems.hu nem elerheto...

( mraacz | 2017. 07. 23., v – 07:51 )

Jól értem, hogy arról van itt szó, hogy a BKK megrendelt egy szoftvert a T-Systemsnél, aki egy szart szállított szoftver helyett?

Oké. Ha jól értem, a T-Systems feljelentést tett valami miatt ismeretlen tettes ellen, amire alapozva a rendőrök fogták meg a kölköt. A T-Systems meg tudta volna akadályozni, hogy a rendőrök megfogják a gyereket? Vagy a BKK dolga lett volna szólni a rendőröknek, hogy nem a gyerek a ludas? Esetleg a rendőröknek, akik kimentek e legényért, tudniuk kellett volna, hogy nem szabad bántani?

Egyáltalán, ki ludas ebben a sztoriban a T-Systemsen kívül? Sok itt a nagy élettapasztalatú hozzáértő szakember vesztegetés ügyben. Azért kérdezem.

Ez az ismeretlen tettes dolog csak mellébeszélés. Pontosan tudták, hogy kiről van szó, mert a srác szólt nekik, és az összes személyes adata benne volt a rendszerben, miután megvette a bérletet. Alapvetően ha a jelzés után a T önkritikát gyakorol, és nem kezd el izmozni a BKK vezérigazgatóval karöltve, ez az egész nem fajult volna idáig szerintem.
FB-n marketinges csoportban szimplán kommunikációs katasztrófának nyilvánították azt, ahogy a T és a BKK kezelte a helyzetet. És ebben van valami, mert nem szerencsés kvázi lehülyéznie az embereket a BKK első emberének. Még akkor sem, ha ez a személyes véleménye. A személyes véleményem nekem is megvan róla. :)

nekik nem is szólhatott, mert az elején nagyon titokban volt tartva, hogy ki csinálta. Aztán mikor a bili kezdett kiborulni, és kezdett a BKK-nak kínos lenni, akkor lépett elő az árnyékból a T. Felvállalva, hogy ez az egész az ő kezük munkája. A srác a BKK-nak szólt, csak nekik tudott.
Hogy ebben a korrupció hol van, azt nem tudom. Ennek a sztorinak most nem ez a legfőbb baja. Az a havi 22-25M Ft, amit havonta kifizetnek rá, aprópénz mondjuk egy vives vb költségvetéséhez képest.

Magyarul: ismeretlen tettes ellen tették a feljelentést, nem a gyerek ellen és nem is tudtak arról, hogy a gyerek kicsoda, amikor a feljelentést tették. A dolog tehát nem csak a korrupció feltételezésében sántít (azaz senki nem tudja, hogy mitől és hol lenne emögött a dolog mögött korrupció), de a gyerek szenttéavatása sem megalapozott. A rendőr ugyanis nem értelmezi a törvényt, hanem végrehajtja, mást nem nagyon tehet. Ha rend van.

A másik, ami egyértelmű, hogy a T-Systems súlyos állapotban van. Egy kommunikációs szakembernek ekkora cégnél az igazgatóságban van a helye. Ha van ott, azonnal le kellene mondania. Utána a vezérigazgatónak és az egész igazgatóságnak. Ha nincsen, akkor a sorrend az egész board visszahívásával kezdődik és utána kell visszahívni a vezérigazgatót. Munkaviszony esetén talán még a rendkívüli felmondás is megállja a helyét. Jó nagy publicitással. Utána el lehet gondolkodni, hogy milyen szalemberek ülnek ott és milyen hierarchiában, ki hagyta jóvá, hogy a BKK-nak ilyen szoftvert adjanak ki.

"Magyarul: ismeretlen tettes ellen tették a feljelentést, nem a gyerek ellen és nem is tudtak arról, hogy a gyerek kicsoda, amikor a feljelentést tették."
Már hogyne tudtak volna róla? A valódi nevén a valódi adataival regsztrált, majd jelezte a valós email címéről jelezte a hibát a bkk hivatalos hibabejelentő emailjére. Minden adatuk meg volt róla, amit készségesen át is adtak a rendőröknek. sőt, szerintem az elején név szerint őt jelentették fel, csak a rendőrök szóltak nekik, hogy úgy nem lesz jó, mert visszaüthet (gyak. rágalmazásért, hamis vád miatt), "legyen inkább ismeretlen tettes, arra úgyis van formanyomtatványunk".
A többi 600 behatolót miért nem jelentették fel, csak azt az egyet, akinek minden adata megvolt?

Nem redőrök kopogtattak nála, hanem a TEK. Elég lett volna egy idézést küldeni neki, és ha nem jelenik meg a kijelölt időpontban, akkor előállítani, de azt is a rendőrség végzi, nem a TEK.

A korrupció mindig az, amiből kihagynak, ezt nem tudtad? :)

Ha nekem huncutkodás jutna eszembe, garantáltan az én gépem volna az utolsó az ismert univerzumban, amelyen napokkal a huncutkodás és vitriolos nyilatkozatok után erre vonatkozó bizonyíték tartózkodna. Ebben az esetben jól jönne a kijelölt nyomozónak és ügyésznek a /nofschk/torrent mappában tartózkodó svéd krimikészlet, hogy ne romoljon a statisztika.

Másrészt viszont ha névvel, címmel levelet küldenék arról, hogy (itt idézőjelesen) "huncutkodtam", pont tojnék a háttértáraim erre vonatkozó tartalmára - amely tartalom a magyar "én szakértőm-te szakértőd" környezetben bizonyíthatja azt is, hogy egy gondos felhasználó vagyok, meg azt is, hogy potenciális terrorista - a bíró meg válogathat "szeret-nem szeret-szeret..." alapon.

Lehet. De ez nem a BKK ügye. Mégcsak nem is a T-Systemsé.

Értem én, hülye a BKK, hülye a T-Systems és hülyék a rendőrök is. Ha ez kell a lelki békénkhez.

Egyebekben sztem világosan kiderült, mit tett a T-Systems, nem pontosan tudjuk, hogy mit tett a BKK és ahány hozzáértő, annyi a vélemény arról, hogy a rendőrök milyenek.

Most akkor térjünk át arra, hogy mit loptak ebben Vityka és a haverok. Mert az a másik, ami világos és kézenfekvő minden szakértőnek ebben a dologban. Meg mindenben.

Én elhiszem neked, hogy te biztos forrásból tudod, hogy a T-Systemsnél hazudtak, amikor a kommunikében azt állították, hogy nem tudtak róla, hogy ki a fiú. A fiú mindenesetre azt állítja magáról, hogy BKK-nál jelentkezett, nem a T-Systemsnél. Persze, lehet ő is hazudik, nem lehet tudni. Annyi biztos, hogy ha a TEK vonult ki hozzá, akkor nem a T-Systems küldött hozzá ukrán behajtókat. De lehet, hogy idővel még erre is fény derül.

Ez a "mindenki hülye és mindenki korrupt, aki él" biztos álláspont, szilárd is, eléggé értelmiséginek is tűnik, rendben van. A T-Systemsnél viszont úgy tűnik, még nem akasztgatnak, sajnos.

Nem nagyon értem, hogy miért véded ennyire mindkét céget, de végülis mindegy.

A feljelentésről ezt írta a sajtó, hogy pontosan így hangzott-e el, ahogy le van írva, nem tudom, nem voltam ott:
index.hu/belfold/budapest/2017/07/18/bkk_digitalis_berlet/
"Lakatos András, T-Systems igazgatója megerősítette az elhangzottakat.
A sajtótájékoztatón kérdésekre elhangzott még, hogy
...
egy feljelentést tettek, az ellen, aki a 10000 forintos bérletet 50 forintért akarta megvenni, a többit mérlegelik"

Tehát nem "ismeretlen tettes ellen" hanem "az ellen, aki".

A "srác" a BKK alkalmazását használta, így (regisztrálás után) velük állt "szerződésben", ezért nekik jelezte a hibát. Az alkalmazáson belül sehol sem látható utalás a T-Systemsre, így honnan is kellett volna tudnia, hogy nekik és hogy milyen formában kellene jeleznie a hibát?

szerk.: a többi, 599 "hackert" mikor jelentik fel? És azokat, akik hétvégén DDoS-al leterhelték a honlapjaikat? Vagy azokat már nem annyira egyszerű beazonosítani a reggeli házkutatáshoz, mert nem adták meg jóhiszeműen az adataikat?

Mindig csodálkozom azokon, akik a tényeket csak valami vagy valaki ellen vagy valaki védelmében tudják értelmezni.

http://mandiner.hu/cikk/20170721_bkk_t_systems_kotelessegunk_volt_a_fel…

"„A T-Systems Magyarország az informatikai rendszerét ért jogosulatlan befolyásolás miatt ismeretlen tettes ellen (és nem egy konkrét személy ellen) tett feljelentést."

Gyanusított persze lehet, olyankor is, amikor ismeretlen tettes ellen tesznek feljelentést. A T-Systems ebben a témában szerintem akkorát hibázott, hogy az alig érthető. Nem azzal, hogy feljelentést tett, hanem azzal, hogy egy ilyen készültségű szoftvert publkikus felhasználásra adott. Nagyon kíváncsi vagyok, mit hoznak ki a vizsgálatban. Ez nem egy kis kóceráj - kellene legyen - ahol ilyesmi előfurdulhat valamiféle "Zeitdruck" miatt.

Szerk.: attól tartok a T-Systemstől a többi 599 hacker is nyugodtan aludhat mind.

Szerintem ez a történet nem a kommunikáción múlt és szerintem semmi keresnivalója az igazgatóságban...
Nem az a baj hogy nem a megfelelő bullshitet nyomták hanem az hogy szarkupacot építettek. Pont hogy nem sales-es+folyamatmanager+kommunikációs&marketinges emberekből kéne állnia az igazgatóságnak hanem olyanokból is akiknek van halovány fingja arról hogy mit is fejleszt&integrál&üzemeltet&telepít stbstb a cég..
régi és továbbra is teljesen igaz:
https://www.youtube.com/watch?v=BKorP55Aqvg

"A T-Systems kommunikéjében az van, hogy ismeretlen tettes ellen tettek feljelentést"

Ez azért van, mert ha adott személy ellen tesz feljelentést és kiderül, hogy nem bűnös, akkor hamis vád miatt feljeletőt veszik elő. Ismeretlen tettes ellen tett feljelentés esetén nincs ilyen. Ez csak jog technikai kérdés.

"és a kölök nem szólt nekik."

A hírek szerint a BKK-nak szolt. Ez egész a BKK neve alatt fut, csak a szállító és üzemeltető a T-System. Azt hogy a BKK rendszerét ki kezeli valójában nem kellene józan paraszti ész szertint egy bejelentés előtt kinyomozni.

Én azt olvastam, hogy nem a T jelentette fel a srácot ismeretlen tettesként, hanem a BKK tett feljelentést konkrét személy ellen. Szerintem úgy is felmentik a srácot, mivel nem valósított meg bűncselekményt, sem csalás, sem informatikai rendszerbe behatolást, csak sajnálom, hogy feleslegesen hurcolják meg, mikor inkább jutalmat érdemelne.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

( seferbt v | 2017. 07. 23., v – 10:07 )

Elkezdték kezelni a hibákat a rendszerben. A Qualys F-s minősítését máris megoldották. Valószínüleg egy tűzfalszabállyal.

90 százalék, hogy csak spórolnak és/vagy balfaszok... dolgoztam pár nagyobb cégnél, elenyésző helyen volt naprakész belső truststore, a legtöbb helyen megtanulták a felhasználók, hogy ha felugrik egy ablak a nem megbízható valamiről, akkor nyugodtan fogadják el. Nem véletlen, hogy nem szokott ezen fennakadni egy phising...

Suszter cipője.
Ahol kifelé hipernek kell lenni, ott is előfordul (persze csak ismertem olyat, aki hallott olyanról, aki látott ilyet), hogy befelé az első szerver, ami megsérti az összvállalati előírásokat, az összvállalati alkalmazottak adatait kezelő LDAP szerver, ami a legalább 5 évvel ezelőtt fővesztés terhe mellett kiadott "-s nélkül nem lehet semmi" direktíva mellett a mai napig kiszolgál meztlábas 389-en, sőt a webes API-ja natúr http-n is.

Az id-k menedzselésére szolgáló számos alrendszer között pedig elvétve akad olyan, amelyik nem áthúzott lakattal jelenik meg a böngészőben.

Bizalom a tűzfalban, és a megyényi alkalmazottban.
https://www.youtube.com/watch?v=pw4at_-OYhY&feature=youtu.be&t=106

sőt. :) Ki a franc akarna a saját usereinek azonosításához megbízni bárki random külsősben :)

radiusnál/WPAnál is rendszeresen előjön, hogy miért self signed, és mindig el kell magyarázni, hogy a self signed az nem az insecure szinonímája, kontollált környezetben konkrétan jobb.

Úgy tűnik sem a T-System-nek, de az újságírónak sincs:

A levél vége:
"Az általam közbeszerzésről leírtak szarkasztikus kritikát tartalmaznak, komolyan nem vehetőek, ..."

A cikkben:
"De azon azért némileg fennakadunk, hogy a fiú a MÁV és a Szerencsejáték Zrt. esetében a jelek szerint elmulasztotta teljesíteni az etikus hekkerek tízparancsolatának mindjárt az első pontját: azaz értesíteni az érintett cégeket."

( b | 2017. 07. 24., h – 03:15 )

elég nagyot fut ez a hír a világsajtóban. A BKK "büszke" lehet magára lol...

--
GPLv3-as hozzászólás.

Tudom, egyik sem a The New York Times, de:
https://www.dailydot.com/debug/46000-facebook-1-star-security/
https://www.techspot.com/news/70260-hungarian-teen-arrested-exposing-ma…
https://www.bleepingcomputer.com/news/security/45-000-facebook-users-le…

És gondolom van még, de nem fogom emiatt átnyálazni az összes Google találatot...

Itt van pontosan, hogy mennyi köze van: http://www.kozbeszerzes.hu/data/hirdetmeny/portal_515520/portal_16587_2…

Tárgya: „A BKK meglévő infrastruktúrájának információbiztonsági állapotfelmérése és folyamatos
auditálása az AFC (elektronikus jegyrendszer) Projekt információbiztonsági felügyelete és
minőségbiztosítása céljából”

"A BKK AFC Projektben érintett infrastruktúra információbiztonsági állapotfelmérése, az auditra
történő felkészítése és auditálása során elvégzendő feladat a bevezetésre kerülő szoftveres és
hardveres infrastruktúrával kapcsolatba hozható BKK specifikus rendszerek és rendszerelemek,
szolgáltatások vizsgálata és ellenőrzése a 2013. L. Ibtv. által meghatározott osztályba sorolás
alapján.
A megvalósítás kapcsán elérendő cél, az AFC Projekt során átadott rendszerek egységes,
bizalmasság, sértetlenség, és rendelkezésre állás szempontjából is magas érettségi szinttel
rendelkező infrastruktúrába kerüljenek implementálásra, továbbá ehhez kapcsolódóan szükséges
az AFC Projekt teljesítéséhez kapcsolódó szoftverek vonatkozásában érvényesülő informatikai
biztonsági követelmények meglétének folyamatos ellenőrzése a fejlesztési életciklus alatt.
Az AFC projekt megvalósítása mind szakmai tartalmában, mind időtávjában pontosan behatárolható
feladatot jelent. A munka minőségi ellenőrzése és szakértői nyomon követése jelentős
humánerőforrás felhasználással jár. A munkafeladatokat ellátó szakértők képzettségével és
tapasztalatával szemben támasztott követelmények szerteágazóak, speciális szakmai
felkészültséget igényelnek. Ezek - a teljesség igénye nélkül - kiterjednek szoftverfejlesztési,
információbiztonsági, rendszerintegrációs, pénzügyi szakterületekre, valamint az említett
területeken érvényes jogszabályok és szabványok alkalmazására. Ilyen mennyiségű és képzettségű
szakemberrel a BKK nem rendelkezik, hiszen az érintett szakemberek folyamatos rendelkezésre
tartása mind műszakilag, mind gazdaságilag indokolatlan lenne. Emiatt a feladatok ellátására
célszerű külső erőforrások bevonása a projektbe.
Jelen eljárás célja, az előzőekben leírtakhoz igazodó, az elvárt költséghatékonyság biztosításának
szem előtt tartása mellett a feladat speciális elvárásainak megfelelő külső erőforrás biztosítása.
A feladatok részletes meghatározását a közbeszerzési dokumentumok részét képező műszaki leírás
tartalmazza."

Need more input.
Attól függ, hogy a rendszer pontosan mely elemeit szolgáltatta a T-Systems és mely részei számítanak a BKK saját rendszerének, esetleg - vagy valószínűleg 3rd party elemek is vannak.
Ugyanakkor minden valószínűség szerint a két fő hiba a T-Systems által szállított rendszerben van, mondom ezt látatlanban, mivel nem ástam elő, hogy ők pontosan mit vállaltak szállítani azért a mesebeli összegért, nem is hiszem, hogy az ennek megállapítására alkalmas részletes specifikációk publikusak.
Majd a Tarlós kinyomozza, hogy ki a felelős :) - csak ne úgy, mint a móri ügynél...

megszólaltak
"Bár a BKK valóban megtehetné az AFC projekt keretszerződése alapján, hogy most is igénybe vegye a Kürt erőforrásait, szakértelmét a webes jegyárusító portállal kapcsolatban is, a Kürt elmondta nekünk, hogy erre nem került sor, tehát ők nem auditálták a webes rendszer működését. "

Magyarul az egesz rendszer audit egy nagy nulla.

Hjam az a gyaloghid keresztben az arkon es a nagy lyuk a falon a pancelozott kapu az aknazar es a legvedelmi agyuk mellett? Hat aztat mondtak, hogy azzal ne foglalkozzunk. De amugy az erod a felmeresunk szerint bevehetetlen es biztonsagos. Merthogy a krokodilok ugye meg az aknak es es es...

Akkor csak a BKK-sok nem tudják, miről beszélnek: "Frissítés: A Kürt sajtóképviselője elmondta, hogy ez a közbeszerzés - noha Dabóczi Kálmán, a BKK vezérigazgatója név szerint említette a Kürtöt a jegyárusító rendszerről szóló sajtótájékoztatón - alapvetően nem a most futó webes projekt biztonsági ellenőrzéséről szól. A Kürt annak a majdani elentronikus (sic!) jegyárusító rendszernek a bevezetését készíti elő, amely egyenértékű lesz a világ többi nagyvárosában is működő megoldásokkal."

Csak a teljesseg kedveert.

Frissítés: A Kürt sajtóképviselője elmondta, hogy ez a közbeszerzés - noha Dabóczi Kálmán, a BKK vezérigazgatója név szerint említette a Kürtöt a jegyárusító rendszerről szóló sajtótájékoztatón - alapvetően nem a most futó webes projekt biztonsági ellenőrzéséről szól. A Kürt annak a majdani elentronikus jegyárusító rendszernek a bevezetését készíti elő, amely egyenértékű lesz a világ többi nagyvárosában is működő megoldásokkal.

--

"You can hide a semi truck in 300 lines of code"

Továbbá, ugyaninnen: "Bár a BKK valóban megtehetné az AFC projekt keretszerződése alapján, hogy most is igénybe vegye a Kürt erőforrásait, szakértelmét a webes jegyárusító portállal kapcsolatban is, a Kürt elmondta nekünk, hogy erre nem került sor, tehát ők nem auditálták a webes rendszer működését. "

Szóval a szerződés kiterjed erre is, de a Kürt szerint nem ők a hunyók. (Lehet hogy nem is tudtak erről a mellék-projektről.)

Pedig de, a link is jó. Épp most kattintottam rá, hogy ellenőrizzem, bejött a T-Systems oldala és rajta a bejegyzés. Egyébként nem vagyok feliratkozva sem rájuk, úgyhogy nem tudom miért nem látod.

Szerk: Bocsi, mégis csak fel voltam iratkozva valamiért, ezért láttam. Fura...

talán azért mert ez a bejegyzés a sügér magyaroknak szól akik szétkommentelték -sokan magyarul- a német tsystems oldalát :).

Over the last 48 hours we perceived a landslide loss of reputation on our Facebook-Site, including some horrible accusations and comparisons. “We”, that is T-Systems International, with more than 40.000 colleagues in more than 20 countries all over the world.

What happened: Last week, a seemingly ethically motivated hacker in Hungary exploited a bug in the online ticket sales system of the Budapest Transport Center (BKK), which was developed by T-Systems Magyarország (TSM). TSM, although carrying the same brand name as us, is not a legal entity of T-Systems International. From what we know, upon noticing the system´s breach, TSM immediately followed their compliance process and pressed official charges against an “unknown offender”. They had no information about the nature of the hack, nor were they approached by the hacker.
An 18year old person was arrested, though he seems to have revealed himself to the customer (not to TSM) and pointed out a malfunction in the system´s security, thereby showing ethical motivation.

What we would like to point out: We believe, if no significant harm is caused, ethically motivated hacks should rather be rewarded, than punished. We are in contact with Magyar Telekom and TSM in order to shed more light on the details of the case, and asked them – given the ethical motivation of the person - to support the young individual now by all means.

We appreciate the motivation of all the constructive comments we received at this site so far, and we will continue to host this channel as an open means to contact, ask or criticize us.

T-Systems

Talán azért, mert a sügér magyarok szerették volna jelezni valahogy, hogy kurvára nem fasza az, amit a TSM csinál, viszont erre nem volt lehetőség, mert a TSM - miután 1.0-ra zuhantak - letiltotta a saját oldalán az értékelést - így valahova eszkalálni kellett/"kellett"...

--
Mobilbarát és reszponzív weboldal készítés

Azt hogy kiborult a bili maguk a számok szerintem kellőképp jelezték.

Számomra az volt a legkevésbé logikus lépés, hogy elég sokan magyar nyelven írták meg a hozzászólásukat :) : max a többi bőbeszédű dekódolhatta.. ..a többségnek pedig szerintem fel se tűnt hogy el van tévedve..

Ilyen esetekre jó egy FB regisztráció :) Még ha nem is használod az oldalt, egy üres regisztrációt igazán lehet tartani ilyen esetekre :)

Akkor beidézem neked a német T-Systems által adott közlemény szövegét:

Over the last 48 hours we perceived a landslide loss of reputation on our Facebook-Site, including some horrible accusations and comparisons. “We”, that is T-Systems International, with more than 40.000 colleagues in more than 20 countries all over the world.

What happened: Last week, a seemingly ethically motivated hacker in Hungary exploited a bug in the online ticket sales system of the Budapest Transport Center (BKK), which was developed by T-Systems Magyarország (TSM). TSM, although carrying the same brand name as us, is not a legal entity of T-Systems International. From what we know, upon noticing the system´s breach, TSM immediately followed their compliance process and pressed official charges against an “unknown offender”. They had no information about the nature of the hack, nor were they approached by the hacker.

An 18year old person was arrested, though he seems to have revealed himself to the customer (not to TSM) and pointed out a malfunction in the system´s security, thereby showing ethical motivation.
What we would like to point out: We believe, if no significant harm is caused, ethically motivated hacks should rather be rewarded, than punished. We are in contact with Magyar Telekom and TSM in order to shed more light on the details of the case, and asked them – given the ethical motivation of the person - to support the young individual now by all means.

We appreciate the motivation of all the constructive comments we received at this site so far, and we will continue to host this channel as an open means to contact, ask or criticize us.

Szeretem ezeket a jogi csures csavarasokat mi ize nem is vagyunk ugyanaz a ceg illetve jogilag ize nem is ugy van es hat kozunk se semmi. De tok veletlenul meg a ceglogotok is ugyanaz baszki... Es hat azert oda tudtok szolni a magyar kepviselet/leanyvallalat/szolga whatever (akarmi kozotok is van hozzajuk cegforma jogi kiskapu lenyeg hogy ti dirigaltok ) reszlegnek, hogy vizsgalodjanak.

Mondjuk ez egy korrekt level volt a jogi mosakodastol eltekintve. Bar a HU reszlegnek eszebe jutott volna egy ilyen mielott kitor a balhe (mondjuk akkor lehet nem indult volna el a szarcunami ellenuk)

Ennyit arrol, hogy nem tortek meg oket mint a ropit...

Igazabol nem az a lenyeg, hogy megtornek e hanem hogy eszreveszed e illetve ha betornek akkor ,hogyan tudod minimalizalni a veszteseget (titkositva tarolva az infot masik db user tudja csak olvasni a hitelkartya adatokat DB admin is restricted van audit log es olvasva is vannak etc etc.)

Komolyan leszakad a pofam es nem tudom elhinni ,hogy ugyanannal a cegcsoportnal mennyire mas a standard. Igaz jo par ev eltel mar de en egy elegge akkuratus fejleszto/tesztelo bandaval dolgoztam egyutt a T-nel. Mi van itt? Mindenki mas is kulfoldon dolgozik mar/elment mas ceghez dolgozni?

Teljesen korrekt a cikk, 3 honap a tesztelesre sem eleg, nemhogy a teljes fejlesztesre nullarol. Meg akkor sem, ha mar meglevo rendszereid vannak. Eleve teljesen lehetetlent vallaltak be, a BKK is, meg a T is. Ebbol jol kijonni nem lehetett, valoszinuleg akkora volt a politikai nyomas, hogy igy is be kellett vallalni.

A fejlesztok es a tesztelok alltak a szoporoller vegen, oket lehet hibaztatni a legkevesbe...

Úgy tűnik, ez a sztori minden vetületében ilyen. :) Én elmentem a hétfői - 20170724-i - nem is tudom milyen tüntetésre. Ez az: https://www.facebook.com/events/105787036760075/?fref=ts Ez a tüntetés pont olyan szervezésű és nívójú volt, mint a BKK e-jegy rendszere, amit a t-sys fejlesztett. Kb. annyi értelme is lett. :)

Nahát, Gyuri bácsi csalódott lesz, rosszul teljesítenek a fiugg! Pedig tünci bőrkabátot is felvettek a NER-matrix tüntizéshez. Képzelem milyen brain stroming volt amíg összehozták ezt a NER-mátrix koncepciót! Hogy csavarjuk rá az Orbán mondjon le-t az etikus hekkerre?

( uid_18385 | 2017. 07. 25., k – 18:18 )

Vicces ez a treszisztem. Az index az alabbi kerdeseket tette fel.

A T-Systems milyen minőségűnek tartja a rendszert?
Mennyi időt szántak a tesztelésére?
Volt-e független biztonsági auditálás?
Magyarországról és külföldről is érkeztek támadások?
Elloptak a rendszerből személyes adatokat?

a valasz

"A T-Systems Magyarország eddig is és ezután is a lehető legkomolyabban vett és vesz minden olyan jelzést, amely adatvédelmi incidens lehetőségére utalhat, és minden ilyen jelzést haladéktanul kivizsgál. Ez igaz a sajtóban már korábban megjelent híresztelésekre is, amiket a T-Systems eddig is folyamatosan vizsgált. Az eddigi vizsgálatok alapján jelenleg nincs tudomásunk az online jegyértékesítési rendszerrel kapcsolatos bármely adatvédelmi incidensről; nincs tudomásunk arról, hogy bármely személy személyes adatai illetéktelenekhez juthattak volna. A belső vizsgálaton felül a T-Systems Magyarország a hétfőn felkérte az EY nemzetközi tanácsadó céget egy külső, független szakértői vizsgálat lefolytatására is."

Komolyan kerdezem, tenyleg ennyire bonyolult a kerdesekre valaszolni? Miert kell allandoan melle beszelni, megfigyeltem, hogy mindenhol csak a rizsa megy, es a valaszadast allandoan kikerulik.

Mert a határozott, konkrét válaszokat számon lehet kérni. Ezért ködösítenek, hogy ne tudjanak belekötni.
pl.: "Az eddigi vizsgálatok alapján jelenleg nincs tudomásunk az online jegyértékesítési rendszerrel kapcsolatos bármely adatvédelmi incidensről; nincs tudomásunk arról, hogy bármely személy személyes adatai illetéktelenekhez juthattak volna."
Tehát nem azt írja, hogy nem loptak el semmilyen személyes adatot, hanem csak azt, hogy nem tudnak róla. Hogyan is tudhatnának, egy ilyen szintű rendszer mögött vajon milyen audit vagy monitoring rendszer állhat (kb. semmilyen), amiből rögtön kiderülne, hogy milyen adatok mekkora volumenben merrefelé vándoroltak?

"Komolyan kerdezem, tenyleg ennyire bonyolult a kerdesekre valaszolni? Miert kell allandoan melle beszelni, megfigyeltem, hogy mindenhol csak a rizsa megy, es a valaszadast allandoan kikerulik."

pl: "Anyad tudja, hogy buzi vagy?"
vagy ez: "Erre a kerdesre ugyanaz a valasz, mint arra a kerdesre, hogy buzi vagy?"

Mi ebben olyan bonyolult?

"A T-Systems milyen minőségűnek tartja a rendszert?"
Tetszőleges válasz a kurva szartól a nagyon jóig.

"Mennyi időt szántak a tesztelésére?"
X napot/hetet/hónapot.

"Volt-e független biztonsági auditálás?"
Igen / Nem

"Magyarországról és külföldről is érkeztek támadások?"
Igen / Nem (Azt, hogy támadások voltak, korábban a T állította, tehát nem "Anyad tudja, hogy buzi vagy?" típusú kérdés)

"Elloptak a rendszerből személyes adatokat?"
Igen / Nem

Emlékeztető, hogy a fenti cikk egyfajta laktózpapírként remekül alkalmas arra, hogy mindenki lemérhesse mennyire tartozik a "useful idiots" névvel emlegetett halmazba.

Ha - mint a fenti delikvens - csak a hörgés meg a "ssszemétorigó" fordul elő a szürkeállomány mélyéből akkor maximálisan, és forduljon orvoshoz... vagy inkább fel.

Különben miután kitaláltátok hogy ki hogyan és legyen fellógatva aki a T/BKK berkein belül ezért a foshalomért és a pénzek lenyúlásáért felelős (eddig rendben is van), arról is induljon azért egy 800 kommentes diskurzus hogy a népesség és a HUP jelentős része 1-2 álhírrel azonnal mozgósítható egy jó kis fecesbookos lepontozásra (amit nem a fos rendszer, hanem a "kissrácok éjjeli megerőszakolása" miatt kapott az alany), rendszergazdás-tüntire (ami teljességgel megalapozatlan, mert amit ez a szerencsétlen szakmai és emberi szemmel összekreténkedett az csak egy fejcsóválásra jó), és egyéb aktivizmusra... még mielőtt ugyanezen társadalmi sebezhetőségünk ukrán mintára lesz "hasznosítva" :^)

Gyengébbek kedvéért: a fenti jelenség nem pártállás hanem intelligencia függvénye, de akinek utóbbiból kevés adatott meg az úgyse fogja érteni amit írtam.

(nyugi, persze tudom hogy a falnak beszélek. Ideje Svalbard-ra költözni.)

De ugye az nem lehet, hogy attól mert te ma fél 8 előtt nem tudtál küldeni, attól még a gyerek 2 hete még igen? (SSL-tesztelés is ment még kb egy hete, aztán jól beszabályozták a védelmüket, és azóta már nem.) Persze utalhatnék itt nvik koléga korábbi hozzászólására az intelligencia és az értő olvasás összefüggéseiről, de minek.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

1. Gyerekről nincs szó, felnőtt emberek érintettek az ügyben. Rád nézve elég szomorú, hogy még a szavak jelentésével sem vagy tisztában.

2. Ezek után nem ad különösebb meglepetésre se okot, hogy e threadet sem sikerült értelmezned, ahol is a "ki gondolná a neten sehol se szereplő e-mailcímről - amit a küldő a shop.bkk.hu domainnévből alakított át meglehetősen egyedi módon egy byte cserével, ki tudja miért" kérdésre érkezett a "bounce azért elég beszédes" reply.

3. Mint látható, az e-mailcímnek sehol semmi nyoma, szóval elég evidens hogy nem A Gonosz BKKCég SzüntetteMeg Éjjel Hogy Lehessen Rá Mutogatni. Vagy ugye az is lehet, hogy a Gonosz BKK SMTPD eddig Gonosz módon nem küldött bounce üzeneteket! Elég vészjósló, hogy szakmabeliként az agyad rögtön erre a következtetésre jutott bármiféle research nélkül. Gondoltál már arra hogy súlyosan befolyásolva vagy?

Egyébként az is megérne egy misét, hogy mi a francért létezik a noreply emailek fogalma?

A minap rendeltem egy vonatjegyet, kiküldték e-mailben, ezen mail feladója: nevalaszoljon. Így. Ékezet, szóköz, írásjelek nélkül.

Miért is ne lehetne a feladó XY ügyfélszolgálat, vagy XY webshop, vagy akármi, és miért is ne lehetne bekötve az inbox ahhoz az email címhez egy ticket rendszerbe?

Pl.: van egy rendszerünk, amely egy rakás webshopot kezel. Az egyes shopok teljes frontendje az ügyfeleink kezében van, nálunk csak backend van, így amikor egy rendelést visszaigazolunk, a következő esetek lehetségesek:
1. Minden ügyfelünk biztosít egy MSA-t, és azon keresztül küldjük ki a levelet.
2. Minden ügyfelünk felveszi a küldő szerverünket az SPF rekordjába, ja és ha már DNS-t konfol, akkor elfogad tőlünk néhány DKIM kulcsot is.
3. Mi kiküldjük a levelet noreply@minevünk címmel, és a levélben benne van, hogy kihez fordulhat, ha gondja van.

Mondd, ha tudsz jobbat, mint a 3.

Ez ugyanolyan eset mint a mostani. Emberünkkel a Telekom korrekten közölte hogy nem akarnak vele együtt dolgozni ennyi pénzért, ezután ő tovább root-kodott a szerverükön for the lulz, és mivel teljesen hülye így a saját, meg a rokonai IP-iről.

A "csak viccből hekkeltemXD" még mindig nem mentő körülmény, és nem is lesz soha az.

Ha létrehozta a user-t és szólt rögtön: akkor talán még elmegy. Ha utána elkezdett vele tényleg bármit tevékenykedni vagy csak simán lassan szólt (nem telefonon és e-mailben rögtön, miközben már voltak kontaktjai), akkor megérdemli a durva büntetést. Szerintem.

De ez valóban az a felállás, ami már majdnem nem etikus hacker kategória, ha még az. Eléggé a határ.
--
http://naszta.hu

A cikkből nem derült ki, hogy csinált e bármit adminként, csak az, hogy csinált egy ilyen felhasználót. Arra, hogy mit csinált adminként ott van az audit log, gondolom. Ennél több konkrétumot nem ismerünk. Pont a lényeget nem tudjuk. Simán igazad lehet, hogy jár neki a szívás, de el tudok képzelni olyan felállást is, ahol még normális a srác.

BTW: Én már az első jelentés után hagytam volna a fenébe, onnan az üzemeltető köre.
--
http://naszta.hu

Baromira nem ugyanaz az eset.

Konkrétan belépett, és létrehozott magának egy admin felhasználót, miután a céggel beszélt és ugyan felmerült a lehetősége, hogy felkérik további tesztelésre, de ez nem történt meg.

Emellett a cég észlelte, hogy ő behatolva létrehozott egy accountot.

Szerintem az ő tevékenysége ebben az esetben elég gáz volt (miután nem kapott megbízást, folytatta). A feljelentés meg a behatoló védelem miatt jött.

A BKK-s esetben nem lépett be sehová, nem hozott létre admin accountot, nem változtatott meg semmit a rendszeren belül és valószínűleg az email vagy a sajtó megjelenés hatására jelentették fel.

( Nickname | 2017. 07. 26., sze – 20:45 )

Azok a fránya papírok es felelősségű körök...

Ki veszi át? Mi alapján? Kinek a pénzéből fizet?

http://m.origo.hu/itthon/20170726-percekkel-a-start-elott-a-t-systems-s…

T-Systems kijelenti, hogy a bevezetésre és üzemeltetésre kerülő BKK Online Shop aznap történő indításának, illetve a felhasználók számára történő hozzáférés megnyitásának semminemű akadályát nem látja.

Azért az nem semmi, hogy 13MFt-ba kerül egy jegykiadó automata... Még ha 1,3MFt lenne azt mondanám, hogy jó, jó, nem olcsó, dehát egyedi fejlesztés, meg a szoftver, meg a háttérinfra bővítése, meg a területhasználati díj (ha van egyáltalán) meg a hozzátartozó közmű-alépítmény bérlés, megatöbbi, de 13Mft!!! az már a 10.000$-os kalapács esete...
És annak ellenére, hogy a jegyzőkönyvben is szerepel "Engem a jegyautomaták ára, a szoftverfejlesztés és az eltömítés-védelem sokkolt.", gondolom simán átment, merthogy "ténylegesen dokumentáció van mögötte. "
Röhej és botrány

Pontosítsunk:
A 13 millióba csak az eltömíthető verzió fér bele. (Gondolom az eltömítés a pénzkiadó nyílásról szól.) Ez a védelem automatánként további 3 millióba kerül. Tehát 16 milliónál tartunk automatánként.

A nehezebb rész:
- Ez a 10 automata más lesz, mint a korábbi automaták?
- Ha igen, akkor mennyivel fognek többet –, esetleg kevesebbet – tudni a régiekhez képest?
- Nyilván jelentős (szoftver) módosításról van szó, ha ez 50 millióba kerül.
- Ebben az 50 millióba már az is benne van, hogy a T-Systems-es dolgozók, a felszerelés előtti napon saját költségükre tesztelik a berendezéseket?
- Ha ez a 10 automata más lesz mint a régiek, akkor mi lesz a régiekkel? Azok jók lesznek úgy, ahogy vannak?

Még lehetne folytatni a kérdéseket, de teljességgel értelmetlen, mert vagy nem lesz rájuk válasz, vagy hazudnak valamit.

Pontosítva:
Először én is ezt hittem, de nem, a szoftver és az (el)tömítés-védelem az összes automatára vonatkozik (a már meglévőkre is), ezért nem számoltam hozzá a 13MFt-hoz (azért durva lenne egy plexilap +3MFt/automata áron):
"Nyúl Zoltán: Nem a tízhez kell szoftvert fejleszteni, hanem az automaták működéséhez kell szoftvert fejleszteni. Amit a régi és az új automatáknál is tudunk megfelelően használni. Amit a tömítés-védelem kapcsán mondott annak az üzenete nem a 10 automatához kapcsolódik, hanem a teljes automata állományhoz. "

És ez így van jól. Az automata hajnali 2-kor is ott van, tud(hatna) 7-8 nyelven, a külvárosban is ott lehet, nem csészi el a számlát, az igazolvány számot stb.

Ezen felül a pl. a kapu az nem csak a gyerekeknek és a terhes asszonyoknak nem nyílik, de a 110 kg-os Izom Tiboroknak sem.

Én abszolút automata párti vagyok.
--
http://naszta.hu

"Arról senki se beszél, hány ember munkáját veszik el ezek az automaták."

Szerintem elég sokan beszélnek, csak felesleges.

Egyrészt ezen beszélgetések közben valahogy senkinek nem jut eszébe végigszámolni, hogy cserébe hány embernek adnak munkát ezzel (ugyanis az automatákat le kell gyártani, kihelyezni, karbantartani, a szoftverét leprogramozni, frissíteni). Igaz ezek nem ugyanazok az emberek.

Másrészt lefogadom, hogy a szövőgép óta minden alkalommal amikor valami új levált egy régit ezek a beszélgetések megtörténnek.

Harmadrészt: Mi a megoldásod? Legyen mindenhol pénztáros, és ami potenciálisan jobb, hatékonyabb megoldás volna, azt ne használjuk? A mezőgazdaságból esetleg vonjuk ki a traktorokat, kombájnokat, és vegyünk fel néhány ezer embert kapálni/kaszálni, kézzel vagy ökrökkel szántani?

A mezőgazdaságba maradhatnak a traktorok, inkább a kemikáliákat, vízmegkötő tápokat kellene kivonni.
Kapálni meg traktor mellett sem ártana, ha járnál vidéken, láthatnád hogy
sok helyen felveri a gaz a portákat.
27 évvel ezelőtt minden udvarban volt háztáji, rendben volt tartva a környezet.
Most meg semmi sem éri meg, csak nézni a Szulejmánt a 160collos TV-ken.

maradjunk annyiban hogy ez legkevésbé a traktorokon múlik. A 19éves osztrák srác is mondta hogy a több mint 4 generáció óta fa ablakokkal & mindenféle fa feldolgozással foglalkozó üzemben sem tudják annyira tartani a versenyt, hiába ők látták el régen az egész környéket, pedig felfejlesztettek mindent, összeálltak sokan, övék a teljes lánc a nyersanyagtól a kivitelezésig: mégse. Kell keresni mást, át kell képeződni / több lábon kell állni. A kérdés az, hogy a felhalmozott értékes(?) tudást hogyan sikerül meg/át menteni a későbbiekben. Mondjuk az ő esetükben a felhalmozott eszközpark stb is kérdés..

A bezárt pénztárak és üfszolgálatok szerintem is idegesítőek, de nem az zavar hogy emberek munkáját veszi el a jegykiadó, hanem hogy órákba telik mire a) átvergődve a menürendszeren végre egy egységsugarúnál komolyabb emberhez kerülök b) eljutok egy köv. üfsz-ra.

A droid jellegű munkákat (jegy kiadás) pedig szerintem sokkal jobb hogy automatizálják: több helyen és gyorsabban juthatsz jegyhez, jó esetben 2-3 ember áll előtted.
ellenben erre fele hó elején kígyózó sorok álltak a jegypénztárnál reggel.. (pláne amíg nem adott dátumtól szólt :) )

Jobb lenne a 129.984.219,- Ft? (csak, hogy ne legyen 10-el osztható :)

Én azokat a számlákat nem szoktam érteni, amik kijönnek valamilyen xFt-ra a végén, és nincs kerekítve (pl.: számlán egy tételsor, Szakértői munka, 1 nap: 2.584.751Ft) hogy jön ez ki? Miért nem akkor már 2,5MFt vagy 2,6MFt?

Bocsánat, de én szoktam például 7607 forintot fizetni, mert az 5990 forint + ÁFA így jön ki. Már csak a teljesen elborult 27 százalékos ÁFA miatt is rohadtul gyanús egy 10 millióra kerekített számla... :)

Ha ez a 10 milliós kerekítés és a tényleges számlázandó összeg közötti különbséget neked kellene fizetned zsebből, akkor is szeretnéd, ha kerekítsék? Mennyi pénzt ért meg az OCD?

Nalátod, a nettó összeg nálad is "kerek".
Szerintem a BKK cikkben is nettó árak szerepelnek, üzleti életben ritka, hogy bruttóval kalkulálnának, mivel úgyis visszaigénylik az ÁFÁt. A havidíjnál is nettó összeget írnak, valószínűleg a jegyautomaták és a fejlesztési költségek is nettó értendők.
Így már azért nem olyan fura a nettó 10MFt, inkább a nettó 9.857.847Ft lenne fura.

"Így már azért nem olyan fura a nettó 10MFt, inkább a nettó 9.857.847Ft lenne fura."

Nekem továbbra is fura. Éppen most építkezek, semminek nincs kerek nettó vagy bruttó ára, még a munkadíj is eléggé szór és a számla vége olyasmi, hogy nettó 641450 forint, bruttó 814261 forint. Egyszerűen a szép kerek számok mögött nincs valódi verseny vagy valódi teljesítés.

Ha adsz egy ajánlatot ekkora léptékben egy komplett valamire, akkor a túloldal fog rád furcsán nézni mondjuk a 9.857.847Ft+áfa-s árnál. Egy kivételt tudok elképzelni, mégpedig az, hogy valamilyen árfolyam alapján számolsz és szigorúan ragaszkodni kell hozzá, mert azért még ott is érdemes mondjuk ezresre felkerekíteni. A bolti 5990Ft-os, "ó ez csak ötezer" jellegű árazás pedig egyáltalán nem mérvadó vállalkozások között.

"Ha adsz egy ajánlatot ekkora léptékben egy komplett valamire, akkor a túloldal fog rád furcsán nézni mondjuk a 9.857.847Ft+áfa-s árnál."

Ha te fizetésedből vonnák le a felkerekített tízmillió és a 9.857.847 forint közötti 142.153 forintot, akkor is így gondolkodnál?
Ha adnál egy árajánlatot gálánsan felkerekített tíz millió forintról és a konkurensed nyerne 9.857.847 forintos ajánlattal, akkor is így gondolkodnál?

Vagy ez csak akkor van így, amikor nem a te pénztárcáddal verik a csalánt? Nem véletlenül írtam, hogy a szép kerek árajánlatok mögött nincs valódi teljesítés vagy valódi verseny.

Úgy gondolom kicsit félre ment ez a poszt:

"... egy olyan “újságíró” írt nagyelemzést egy szakmai eseményről, aki annyira hülye az adott szakmához ..."

Ezen az alapon csak orvos végzettségű újságíró írhatna cikket pl.: madárinfluenza járványról. Az újságírónak nem az a feladata, hogy profi legyen abban amiről ír, hanem, hogy összegyűjtse és rendszerezze adott témába vágó információkat, amely olyan emberketől származik akik pl. értenek hozzá.
Ha a fenti ügy bírósági szakaszba kerül, akkor sem a bírónak kell értenie az informatikához, hanem a felkér szakértő(k)nek.

"Ezután fogta magát és dobott két emailt a T-nek, majd elküldte a hibát a sajtónak. Igen, jól érted, és ezt a részét valahogy nem promózza a ballib sajtó: a kolléga nem várta meg amig reagál a szolgáltató, hanem publikálta a lyukat. A média (tudod melyik fele) pedig szétpörgette.
Szerintem a srác pont annyira felelős, mint a T-Systems, a BKK és a média – ebben a sorrendben."

Ebből nekem az jön le, hogy nem a srác publikálta a hibát, hanem a sajtó akinek elküldte. Normális esetben nem lehetne gond abból, hogy a sajtó is értesül ilyen esetrőr. Talán még jobb is, mert ha cikk megjelenése előtt megkérdezik a BKK vezért, mert elképzelhető, hogy így hamarabb értesül (márha értesül és nem akad el valahol a vállalati hiearchiában) a problémáról mint ha a vállalati szervezet dolgozza fel.

Ezek után a fenti felsorolásból épp a legelső helyen megjelölt személy az aki a legkevésbé sáros. A sajtót azért lehet ekézni, hogy túl hamar hozta nyilvánosságra az infót, de ez nem a srác felelőssége.

Ennek az inverze az augusztus 20-i vihar, ott az ügyeletes meteorológus volt a fő bűnös (és talán az egyetlen akit megbüntettel), mert nem riadóztatta személyesen a komplett kormányt és államigazgatást.

Ez arra hasonlít nekem, mikor a "nagytudásúak" ekézik a laikus betegeket, akik vagy azért hülyék mert x betegséggel orvoshoz mennek és terhelik az ellátórendszert vagy azért hülyék mert y betegséggel későn mennek orvoshoz, mert így drágább/nehezebb kezelni az adott betegséget. Viszont épp az orvos (jelen esetben a T-System/BKK/sajtó) van a megfelelő tudás birtokában, hogy mikor mit kell tenni.

'Ezen az alapon csak orvos végzettségű újságíró írhatna cikket pl.: madárinfluenza járványról. Az újságírónak nem az a feladata, hogy profi legyen abban amiről ír, hanem, hogy összegyűjtse és rendszerezze adott témába vágó információkat, amely olyan emberketől származik akik pl. értenek hozzá.'

ezért szoktak felkérni szakértőt. v. akár szakértőket, hogy ne jelenjen meg hülyeség, ugyanis ha a bődületes baromságokat elkerülik, akkor hitelesebb lesz a cikk.

de mivel ez egy index cikk, - és spórolni kell a közpénzel, mert kell a tulajnak - így a hitelesség volt a legkevésbé fontos. szemmel látható, hogy a laikus többség hirigelése, és megvezetése volt a közvetlen cél, hogy ne a haverokat kelljen elkaszálni.

tehát igazad van. csak ehhez magához az alap szakmához kéne érteni. mármint az újságíráshoz,
v. ha ez megvan, akkor a szakmai becsvágy hiányzik:)

Az augusztus 20-i viharnál már délután kiadtak egy legalább sárga riasztást.
Pont a meteorológia a legártatlanabb.
Valamint Gyurcsány még ki is posztolta hogy a Balatonnál van és látja hogy óriási vihar tart Pest felé.
Szilvássyék nem voltak hajlandóak leállítani a tüzijátékot, még akkor sem, mikor már lecsapott a vihar.
Egyértelmű a felső politikai vezetés 110%-os felelőssége.
Azóta egy 50KM/h szélnél is megy ki a vörös riasztás, mert f.snak a meteorógusok.

Úgy emlészem az ügyeletes meteorológus valami központi rendszerbe írta be, hogy vihar lesz. Ezt állítólag a többi hívatalnak figyelnie kellett volna.
A végén valami olyannal rugták ki, hogy jó-jó beírta oda, de mellette telefonon is szólnia kellett volna.
Szóval ő nem bűnös volt csak bűnbak.

Valami ilyet érzek ebben az esetben is, a srácon kívül minden szereplő hibázott (sajtó is, ha túl türelmetlen volt), de mégis a sráccal vitetik el a balhét.

Klasszikus probléma megoldás: Rá tudod kenni valakire? Igen -> probléma meg van oldva.

Akik csak Crtl+F-el tudnak olvasni... az "ez a cég" alatti linken van a megfejtés... ja igen, nem itt, hanem az eredeti blogbejegyzésben
"A BKK-s ügyben az alvállalkozó (ami állítólag ez a cég, de ezt az infót nem tudom megerősíteni) szerintem egyszerűen törölje magát a szakmából. A közvetlen felelősök pedig lehetőleg az életből. Sajnos tisztában vagyok vele, hogy tele van a hazai piac ilyen lókupecekkel, akik 40 éves kövér gyökerekkel kódoltatnak ekkora projecteket, okádék minőségben. Nagyon-nagyon remélem, hogy olyan kötbér volt a szerződésükben, ami generációkra földönfutóvá teszi a felelősöket."

Rosszul gondolod:

Ráböktem a linkre. Átfutottam. Nem alaposan, csak úgy nagyjából. De azt a szövegrészt már elsőre megtaláltam, amire vonatkozik ez a megjegyzés:
„A BKK-s ügyben az alvállalkozó (ami állítólag ez a cég, de ezt az infót nem tudom megerősíteni) szerintem egyszerűen törölje magát a szakmából.”

A zárójelben levő „ez” szó egy link. Arra kellett volna kattintanod, ami azért kitalálhat ez alapján:
„Meg ezt az innostart-os infót honnan vette (miszerint ők követték el bérmunkában a shop.bkk.hu-t)?”

A Kürt először a sajtóosztályával üzent az Indexnek, hogy bár a keretszrződésükbe beleférne, de nem kérte fel őket a BKK erre a projektre. Később a vezérigazgató azt nyilatkozta, hogy a fél éve kötött elektronikus jegyértékesítő rendszerre vonatkozó szerződés egy másik rendszert takar, ezért nem volt audit.

így gondolod? 


$ host turner-tls.map.fastly.net
turner-tls.map.fastly.net has address 151.101.1.67
turner-tls.map.fastly.net has address 151.101.65.67
turner-tls.map.fastly.net has address 151.101.129.67
turner-tls.map.fastly.net has address 151.101.193.67
turner-tls.map.fastly.net has IPv6 address 2a04:4e42::323
turner-tls.map.fastly.net has IPv6 address 2a04:4e42:200::323
turner-tls.map.fastly.net has IPv6 address 2a04:4e42:400::323
turner-tls.map.fastly.net has IPv6 address 2a04:4e42:600::323

Az az egyik mód, ez a másik: 


± host google.com
google.com has address 216.58.214.206
google.com has IPv6 address 2a00:1450:400d:807::200e
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.


± host google.com
google.com has address 172.217.16.110
google.com has IPv6 address 2a00:1450:400d:807::200e
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.

( thmir v | 2017. 07. 27., cs – 22:01 )

http://index.hu/tech/2017/07/27/oszre_uj_platformra_kerul_az_e-jegyrend…

"Nagyobb teherbírású és biztonságosabb, a támadások hárítására képes elektronikus jegyárusító rendszert rak össze a T-Systems, és ennek a költségeit maga állja"

Dehát a mostani költségeit is ők állták eddig (ha egyáltalán kifizetik ezt bárminek), a BKK csak a szolgáltatásért fizetett volna. Legalábbis Tarlós azt mondta, hogy a BKK egy fillért sem fizetett még ezért.
Így tehát ugyanott lesznek, lesz egy valamilyen szoftver, amit a BKK majd bérel 20-25MFt/hó (vagy több)-ért.

"Legalábbis Tarlós azt mondta, hogy a BKK egy fillért sem fizetett még ezért."

Gondolom ebből a "még" a lényeges. Egyébként volt egy cikk, hogy a szerződést is csak az indulás után egy-két nappal írták alá. El tudom képzelni, hogy a fejlesztésért, ha minden rendben ment volna, akkor is majd a következő hónapban fizetne (vagy fizet) a BKK.

A cikk nekem azt mondja, hogy a BKK egyet fizet kettőt kap akciós rendszert fog kapni, amit még nem kell kifizetnie.

Igen, úgy, ahogy írod.
Gondolom, hó végén kiszámlázta volna a T a havi bérleti díjat, mivel elvileg SaaS szolgáltatásról volt szó. Legalábbis a BKK is az elejétől azt hangoztatta, hogy ebből minden (infra, szoftver, elérés) a T-Systems-é, a BKK csak bérli az egészet havi 20-25MFt-ért. Tehát a szoftverfejlesztésért nem fizet(ett) a BKK, ahogy a most grátisz belengetett továbbfejlesztésért sem fog. Tehát nagyon gáláns a T, hogy ingyen fejleszti újra a rendszert, dehát eddig is ingyen dolgozott (ami majd visszajött volna a bérleti díjakból). Így csak "időt nyertek".
Az lenne a ténylegesen gáláns, ha lefejlesztené (mostmár jóra), majd x évig ingyen biztosítaná azt a BKK-nak, de a hírben erről szó sincs.

De ez nem eleve SaaS projekt volt? Ott ugye szolgáltatást ad el a T, senkit nem érdekel - elvileg - hogy mikor, és hogy fejleszti.

BTW: én nem emlékszem, hogy az O365 előfizetésemnél külön kéne fizetnem az Exchange Server fejlesztéséért a Microsoft-nak... :)
--
http://naszta.hu

Miért ne lehetne egyedi fejlesztés is SaaS? A megrendelőt csak a szoftver/felület/végeredmény érdekli, az legyen használható, gyors, biztonságos, stb., valamint feleljen meg a megrendelő igényeinek. Az, hogy mi van mögötte, az nem érdekli, (ne neki kelljen megvennie a vasat hozzá) működjön jól.
Ja és még ami fontos, időszakos lebontásban (havi) kelljen érte fizetni(, még jobb, ha mindez terhelés/forgalom arányos is).

Persze magát a konstrukciót üzletileg lehet úgy hívni, bár technikailag nem lesz az. Ezzel szemben a SaaS vagy bármelyik aS végű egyik előnye nálam, hogy egy bejáratott és relatív kész megoldást veszel egy ismert problémára és hűségidő nélkül. Ebbe nálam beletartozik, hogy egy meglévő naaaagy infrára kerül a cucc és nem egy speciálisan a számára összerakottra és ráadásul egy adott célra fejlesztett szoftverrel. Az utolsó esetben ugyan hiába van havidíj, de a hűségidő vagy a fix szerződéshossz nem megúszható szerintem.

Az lehet, hogy nálad ezt jelenti, de ez sehol nincs ennyire konkrétan definiálva. Mint a rövidítésből adódik, aaS as-a-Service, tehát, mint szolgáltatást veszed igénybe. Ez lehet már kész, általános megoldás (pl.: O365) vagy egyedi alkalmazás is, az a lényeg, hogy ne az ügyfél vasain fusson, ne neki kelljen karbantartani, ne hozzá fussanak be a hibák, stb. Ő csak egy havidíjat fizessen, "amiben minden benne van".
Az, hogy milyen vasra kerül, szintén a szerződés határoz(hat)ja meg. Kérheted dedikált vasra is, de úgy biztos, hogy drágább lesz. Jelen esetben nincs arról infó, hogy a T dedikált vasra rakta a shop.bkk.hu-t, vagy a nagy T-Cloudból szakított ki egy szeletet (szerintem ez utóbbi) bár ez irreleváns is.

"hűségidő nélkül": ezt is szerződése válogatja, hogy van, vagy nincs hűségidő, forgalomarányosan, vagy fix összeget kell fizetni, hogyan és miként bontható fel, stb. Ez még akár egy lakossági aaS szerződésnél is tud bonyolult lenni (sarkított példa: mobilnet előfizetés) egy céges szerződésnél meg pláne.

Jelen esetben a szerződésben biztosan benne van, hogy ha működik a shop.bkk.hu, akkor még abban az esetben sem lehet felbontani, ha egyetlen vásárlás sem érkezik onnan. A T teljesít (elérhető az oldal), a bkk meg fizet minden hónapban.

( szerjozsa | 2017. 07. 29., szo – 09:01 )

14.07.2017 14:49

„Biztonsági rést találtam a weboldalukon, a kosárba rakáskor a termék árának átírásával (POST requestben) annyiért veszek bérletet, amennyiért én akarok. (50 forintért vettem havibérletet.) Nem használtam fel a bérletet, célom világos és jó, nem követtem el bűncselekményt, mivel egyből jelentettem. Meglepő viszont, hogy én 18 éves vagyok, de már 13 évesen sem követtem el ilyen hibákat. Ha esetleg a jövőben egy közbeszerzésnél csak 90%-ot kellene visszaosztani, szívesen jelentkeznék. Már csak azért, mert a MÁV-nál például teljesen ingyen vehettem jegyet, de a Szerencsejáték Zrt. oldalán is tudtam magamnak pénzt kreálni. Röviden kifejezve: a közbeszerzések engem is érdekelnek, magasabb minőségben készítem el a feladatot, ugyanannyit osztok vissza.
Üdvözlettel: X. Y.”

Hiányzik a levél vége (itt az is olvasható):

"Az általam a közbeszerzésről leírtak szarkasztikus kritikát tartalmaznak, komolyan nem vehetőek, felelősségre vonható nem vagyok értük."

Ebből az utolsó félmondat nem biztos hogy megállja a helyét, ellenben az eleje azért jelez valamiféle utalást arra, hogy ezt a MÁV / Szerecsenjátékos bekezdést nem kéne komolyan venni.

Az azért nem kicsit tragikus, hogy úgy tűnik az elején az egész levelét vették semmibe, utána pedig az általa szarkasztikusnak jelzett részt veszik komolyan (a másik felét meg leszarják?).

Ezt itt fent pedig már egyszer leírtam.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

my oh my. Ez ám a fordulat, főleg ez után. Ez lesz a mi 9/11-ünk? Most gyorsan át kell tolni egy "hekkerellenes" törvényt ami még több jogot ad a karhatalmi szerveknek a hasonlóan "szofisztikált" fenyegetések kezelésére. Talán még a senkiföldje tranzitzónába is lehet szállítani kihallgatásra a fakockagyártókat meg a hekkereket, Guantanamó után szabadon.

A másodpercenként keletkező naplóbejegyzések száma az átlagos 300-400-ról 13 ezer fölé ugrott, ami óránként közel 47 millió bejegyzést jelent. Ennek hatására a felhasználók nem tudták elérni rendszert.

Ez azért még nem egy extrém nagyságrendű támadás, sőt, ennyit azért röhögve ki kellene szolgálnia. Ez is mutatja, hogy menyire gyenge minőségben lett megvalósítva.

( neuron | 2017. 07. 30., v – 16:42 )

"A közzétett képernyőkép tanúbizonysága szerint az eredeti, shop kukac bkk pont hu-ra küldött, két bekezdéses bejelentőlevél 2017. július 14-én 14:49-kor kelt. A BKK hivatalos nyilatkozatát cáfolni szándékozó, újabb képernyőkép alapján egy második, kevésbé terhelő, egy bekezdéssel megrövidített e-mail, melyet az etikus hekkerként aposztrofált fiatalember már az ügyintézés szempontjából releváns bkk kukac bkk pont hu e-mail címre küldött, szintén 14-én 15:10-kor került feladásra.

Apró szépséghiba, hogy az online jegyértékesítési rendszer hibáival foglalkozó első cikk, ami az "etikus hekkertől" származó bejelentésre hivatkozik, még aznap 16:31-kor megszületett. A jó munkához idő kell persze, de ne engedjük, hogy a realitásérzékünk teljes mértékben eltérítsen minket, inkább feltételezzük, hogy egy ismeretlen forrásból érkező értesülés felülvizsgálatához, akár félkész anyagba illesztéséhez és publikálásához elegendő 45 perc.

Ezen megengedő és igen jóhiszemű logika mentén a BKK-nak nagyjából legfeljebb 36 perce lett volna arra, hogy érdemben kivizsgálja a bejelentést, megtegye a szükséges lépéseket és válaszoljon a panaszosnak, mielőtt ő a médiához fordult volna panaszával.
...
Bár a történet főbb részletei könnyen átláthatók és a tények birtokában egyszerűen értelmezhetők, egy kérdés mégis nyitva marad: vajon milyen csatornán kell egy 18 éves srácnak egy adott médiatermékhez fordulnia, hogy története kevesebb, mint egy órán belül címlapra kerüljön?"

https://888.hu/article-az-etikus-hacker-avagy-egy-alhir-margojara

----
"Kb. egy hónapja elkezdtem írni egy Coelho-emulátort, ami kattintásra generál random Coelho-kompatibilis tartalmat."

"A közzétett képernyőkép tanúbizonysága szerint az eredeti, shop@bkk.hu-ra küldött, két bekezdéses bejelentőlevél 2017. július 14-én 14:49-kor kelt. A BKK hivatalos nyilatkozatát cáfolni szándékozó, újabb képernyőkép alapján egy második, kevésbé terhelő, egy bekezdéssel megrövidített e-mail, melyet az etikus hekkerként aposztrofált fiatalember már az ügyintézés szempontjából releváns bkk@bkk.hu e-mail címre küldött, szintén 14-én 15:10-kor került feladásra.
Apró szépséghiba, hogy az online jegyértékesítési rendszer hibáival foglalkozó első cikk, ami az "etikus hekkertől" származó bejelentésre hivatkozik, még aznap 16:31-kor megszületett. A jó munkához idő kell persze, de ne engedjük, hogy a realitásérzékünk teljes mértékben eltérítsen minket, inkább feltételezzük, hogy egy ismeretlen forrásból érkező értesülés felülvizsgálatához, akár félkész anyagba illesztéséhez és publikálásához elegendő 45 perc."

14:49 + 45 perc -> 15:34
15:10 + 45 perc -> 15:55

16:31 - 45 perc -> 15:46

14:49-16:21 -> 102 perc (1 óra 42 perc)
15:10-16:21 -> 81 perc (1 óra 21 perc)

Mire gondolt a költő a 45 percel, mert a cikkben szereplő időpontok között nincs 45 perc sehol sem. Mi történt 15:46-kor és ez miért nincs a cikkben?

Van annak egy diszkrét bája, hogy az egyik újságíró ekéz egy srácot azzal, hogy egy másik újságíróhoz fordult.

Két olvasata lehet egy ilyen esetnek:

a, Ott hibázott, hogy hozzánk (újságírókhoz) fordult.
b, Nem a srác hibázott, hanem a kolléga (újságíró).

A cikk mintha az elsőre tenné a voksát.

Vajon ha 14:49-kor egy adott közüzemhez rossz e-mail címen fordulok, majd - miután leesett a tantusz - 15:11-kor helyes e-mail címre küldöm a bejelentést, az jó, ha 16:31-kor ország-világ elé tárom a sebezhetőséget, mert "nem kezdték meg időben a hibaelhárítást"? Ez jó és helyes?

Nem állítottam ezzel kapcsolatban semmit. Arra akartam rávilágítani, hogy a bejelentéssel szerintem aznap nem foglalkozott senki, mivel még másnap délben is ott volt a hiba.

Fogalmam sincs arról hogy a sajtóban megjelent információk alapján történ-e hasonló visszaélés, de legfeljebb akkor lehetne mérgelődni a publicitás miatt. Ráadásul annyi féle egymásnak ellentmondó infó kering arról, hogy milyen címre és mikor küldött levelet az illető, hogy én ebben biztosan nem tudnék álláspontot foglalni.

Pl. te is állítod, hogy először rossz címre küldte a levelet. Viszont valamelyik jobboldali lap közölt egy képet valami zsaroló hangvételű levélről, amiben mégis az a cím szerepel a fejlécben. A másik lapok meg ugyanezen email címre (csak mondjuk kis/nagybetű különbségekkel, ami szintén miafasz) küldött levelet mutogattak először, csak a kínosabb bekezdések nélkül.

Szerintem a jó és helyes forgatókönyv az lett volna, ha a BKK az üzembe helyezés napjától kezdve 24/7 ügyfélszolgálatot tart fenn az ilyen bejelentésekre és legalább egy "Köszönjük a bejelentést, hamarosan utána járunk" jellegű infót visszaböfögnek. Ezzel szemben az emberekben az a kép él (és nem hiszem hogy messze van a valóságtól), hogy a BKK a sajtóból értesült arról hogy szar a rendszere és ijedtében azt sem tudta mit hazudjon gyorsan. A T-Systems aszisztálása a kommunikációban meg csak rátett egy lapáttal.

Azért én kíváncsi lennék a véleményedre arról, amit írtam.
Hol, mely lap közölt képet mely levélről, hisz a delikvens kettőt küldött, az elsőt a shop@bkk.hu-ra (14:49, vö. zsaroló hangvétel), a másodikat a bkk@bkk.hu-ra (15:11) az inkriminált bekezdés nélkül? Hol láttál te mást?

Szerintem is jó, ha foglalkoznak a panaszokkal, de erre a célra úgy tűnik, van csatornájuk:

BKK Telefonos ügyfélszolgálat
Telefonszám (Call Center): +36 1 3 255 255
(az év minden napján 24 órában fogadjuk ügyfeleink hívását)
(Forrás: http://bkk.hu/magunkrol/elerhetoseg/)

Hízelgő hogy az én véleményem is számít valakinek :)

Szerintem sem volt etikus a sajtó megkeresése (függetlenül attól hogy mikor történt az), úgy gondolom hogy csak vonzó volt a 15 perc hírnév. Még ha valami szakmai fórumra írt volna, akkor sem látom hogy mi volt a srác célja ezzel a hencegésen túl.

A levelezős témára: A shop@bkk.hu-ra írt levél ugyebár két formában is megjárta a sajtót, egyszer a zsaroló hangvételű bekezdés nélkül, egyszer pedig azzal. Nekem időrendben valahogy így él a fejemben a sztori:
* Sajtó lehozta a hírt a hibákról és hogy a srác a BKK-t is értesítette. Mellékletként ezzel a képpel: https://4cdn.hu/kraken/image/upload/s--OaYIbLay--/72IbaUOI998QGS3ns.png
* BKK vezér azt állítja, hogy ez a cím nem is létezik, ezért nem reagáltak
* Sajtó mutat másik képet is, ami már a bkk@bkk.hu-ra ment, illetve egy olyan levelet is, amit a bérlet letiltásáról küldött a BKK a shop@bkk.hu-ról (elvileg automatikusan).
* Miután kiderült hogy a BKK valótlanul állította hogy rossz címre kaptak bejelentést, a valasz.hu közöl egy képet egy kinyomtatott emailről, ami szerintük az eredeti shop@bkk.hu-s levél: http://valasz.hu/data/cikk/12/4790/cikk_124790/bkkjegy.jpg

Ez utóbbi már bővebb tartalmú, az ebben elhangzottakkal cáfolják az "etikus" viselkedést. Nekem az a furcsa a két - elvileg azonos - levélben, hogy a címzett mező sem teljesen azonos: "shop" <shop@bkk.hu> vs BKK Shop <Shop@bkk.hu>

Ebből pedig számomra az jön le, hogy valaki hazudik (mindkét félnek lehet érdeke), ezért nincs is megrendíthetetlen véleményem erről, de szerintem pont nem is releváns az ügy szempontjából.

"Szerintem sem volt etikus a sajtó megkeresése"

Szerintem pont hogy de.

Ha elküldi a gyerek a hírt mondjuk ide, vagy hwsw, pcforum, bármilyen egyéb szennylap, mégis szerinted mi történt volna? Semmi. Lófasz.
Így, hogy az index hozta le, így kénytelenek voltak reagálni, mert lett valódi media coverage.

Az emailekről is már annyi fotó, kép, copypaste van, hogy szinte lehetetlen megmondani, melyik igazi, melyik hamisított (sajnos a köz+csatlós médiától nem áll messze ez).

Szerintem attól etikus egy hekk, hogy betartja a közérdekű bejelentés feltételeit. Pénzzé tette? Nem. (nem utazott vele, szándékában se állt [az nem érdekel, hogy lehetősége sem volt rá]). Szólt? Igen. Részletezte a problémát? Igen.

Egy ilyen hibánál a BKK/TSystems egyetlen etikus (haha) lépése az lett volna, ha kussolva leállítja a rendszert a picsába és akinek van e-jegye/e-bérlete, küld egy emailt, hogy bocsesz, légyszi válts ki ez alapján papír alapon. Mert ugye ilyet is lehetett.

Normális országban a cikkek alapján az ügyészség még pénteken megindította volna az eljárást. Nem azon nyekegne a nép, hogy etikus-e egy ekkora foshalmaz veszélyeiről értesíteni a lakosságot.

Lehet érvelni, hogy bezzeg a Google 90 napot ad mindig a Microsoftnak. Ott már meglevő adatokhoz férhetsz hozzá, kurva nagy mennyiségben. Itt egy frissen elindult, mindenki által csak böködött rendszer törvényszerűen kihasznált hibáira _előre_ szóltak. Ha a BKK lelöv(et)i a rendszert [még pénteken], akkor a 24.hu-s adathalmaz se jöhetett volna létre nagyon nagy valószínűséggel.

Sok dolgot összemosol és olyan dolgokkal vitatkozol, amiről említést sem tettem a hozzászólásomban.

Arról hogy mekkora reakcióidővel reagált volna a T-Systems ha nincs a sajtó, neked sincs fogalmad, ezért ilyen feltételezésekre alapozni az érveidet csacsiság.

Továbbra is úgy gondolom, hogy nem volt etikus a srác viselkedése (itt most konkrétan a sajtó megkeresésére gondolok). Az az érv hogy csak azért fordult egy online sajtóhoz, hogy mielőbb javítsák a hibát, számomra nem hihető. Ha tényleg a hiba mielőbbi kijavítása lett volna a cél, akkor csak felvette volna a telefont vagy írt volna még pár levelet, hogy "Mi van már?". Mivel ilyesmi nem történt, ezért elképzelhetőbbnek tartom, hogy egyszerűen csak szeretett volna felvágni.

Más kérdés az olyan hibák nyilvánosságra hozatala, mint a plaintext jelszavak és az adatlopás lehetősége, ezekről szerintem is mielőbb értesülniük kell a felhasználóknak. Viszont az hogy 50 Ft a bérlet ha módosítod a postolt adatokat, nem közérdekű infó szerintem.

Ebben egyetértünk, viszont szerintem pont emiatt kellett volna nagyobb együttműködést mutatnia a srácnak és a sajtónak is. Én azt feltételezem, hogy nagyobb a veszélye egy széles körben ismert és javítatlan hiba rossz szándékú kihasználásának mint egy ismeretlennek (feltéve hogy javítják/lekapcsolják a hibás szolgáltatást).

Ez pont nemigaz, mert nemigen lehetett megkárositani igy a céget. Ha nem hisszük el, hogy eleve volt monitoring a rendszerben ami utólag kiszúrta az ilyet, akkor is egy 10 mp-es sql lekérdezéssel megoldható az összes "hamis" bérlet kiszűrése. Egy másik 10 mp alatt, pedig mellé lehet joinolni a bankkártya adatokból a konkrét elkövetők listáját, ha valaki szükségét érzi.

Szóval ez minden volt csak nem reális megkárositás.

Nem volt ilyen sql? Nocsak, T-s vagy?

Miért ne tárolhatná a kifizetett összeget a saját rendszerük?

Nevezd akkor kármentésnek, de én még mindig nem látom hol történhetett itt a sokak által vizionált állami cég kifosztása? Szerintem itt pontosan 0 ft anyagi kár volt veszélyben és végtelen sok erkölcsi kár.

Azt mondták minden támadás esetén megtették a szükséges lépéseket. De a kialakult balhé miatt még ha fel is jelentettek még valakit, azt se jelentenék be a sajtóban. De valószinű nem jelentettek fel senki mást és nem azért mert nem tudják megirni azt a 10 mp alatt megirható sql-t...

Minek kéne a bankkártya adatait elmenteni? A nevét az illetőnek el kell, hiszen bemutatáskor is le lehet kérdezni kinek a nevén van a bérlet. Az meg, hogy mennyit fizetett a bérletért szintén ott lehet a táblában, miért ne lenne?

A lopott kártyával névre szóló bérletet venni kolosszális ötletnek tűnik :)
Ja várj, tudom, személyit is lopott vagy hamisitott a sok hacker hozzá, ez az évszázad bűntette lesz :)

Szanalmas, hogy egy szakmai nulla munkaban, amit a T muvelt, az emberek politikat kevernek. Jol seggbe kellett volna baszni T-t, aztan kesz.

Mutogat a ket+ agymosott birka csoport egymasra. Kb mint, vmi fradi ujpest szurkolok, akik azert harcolnak, hogy ki legyen a kiraly a szemetdombon.

Köszi, ez most reggel jól esett.

Itt már majdnem bepisiltem a nevetéstől:
"A BKK-nak nem kellett közbeszerzést kiírnia erre a feladatra, ugyanis egy már meglévő, „dobozban lévő” rendszert vásárolt meg, ráadásul egy olyan cégtől, amellyel már eleve szerződésben állt."

( Jason v | 2017. 07. 31., h – 13:49 )

Ez a buli egyre jobb: http://magyaridok.hu/belfold/negy-hetig-teszteltek-bkk-jegyrendszert-20…

"előzetesen négy héten át tesztelték [a BKK szakemberei]" ... "Mintegy 450 hibát találtak és jeleztek [a BKK szakemberei] (...)" ...

Most jön a lényeg: "Információink szerint a rendszert vezérlő program több száz gyenge pontja között volt az is, amelyet a július 13-i indulást követő napon a magát etikus hekkernek nevező illető megtalált."
Most jön a kérdés: mivel ismert bug volt, emiatt a feljelentett gyerek rosszabb elbírálásra számíthat?

(Maga a cikk kurva nagy kamunak tűnik elsőre.)

Akkor nézzük a fő megállapításokat a cikkben:
- a "rendszer" tökéletes
-- a BKK június 16 óta teszteli a rendszert, a BKK minden hibát észrevett, pontosan !négyszázötven! darabot, erről jegyzőkönyv is készült, amit Magenta-Man képviseletében aláírt valaki és papírjuk van róla megígérték kijavítják, minden azóta nyilvánosságra került hiba benne volt ebben, a BKK tökéletes a sajtó lejáratókampánya ellenére is
-- a személyes adatok teljes biztonságban voltak, az csak belső kiszivárogtatás útján kerülhetett ki
- majd az EY consulting kideríti mi is történt pontosan

Akkor reality check:
- pont 450? ez olyan hasraütős számnak tűnik, de véletelenül még lehet is
- de ha 450-et megtalált a BKK, és ebben minden amire azóta rájöttünk benne volt, akkor a rendszer élesre állításakor a "tökéletes" BKK hogyhogy nem vette észre, hogy nem lett minden befoltozva? (ha voltak szakembereik és kapacitásuk a 450 hiba korábbi kiszűrésére, a pontos hibák ismeretében nagyságrendekkel egyszerűbb és gyorsabb a konkrét javítás ellenőrzése, mindezek alapján ez az egész állításkör roppant BS szagú)
- azt mondják az adatok teljes biztonságban voltak, meg azt is, hogy minden nyilvánosságra került hibáról tudtak majd egy hónapra előre, a cleartext encoding, már ha benne volt a 450-ben, akkor ezt kizárja, ha nem volt benne akkor mégsem vettek mindent észre, azt meg ezek szerint végképp nem vették észre, hogy a mentés publikus könyvtárba megy, mert ha észrevették volna akkor nem mernék azt állítani, hogy teljes biztonságban voltak az adatok

Hiányolom a cikkből az alábbi buzzwordöket: aknamunka, szabotázs, Soros, Simicska, migráns, Brüsszel, megvédjük
No nem baj a következő cikkben majd biztosan pótolják ezeket is.

Ez az EY ugyanaz az EY, ami anno olyan jól megcsinálta a StartSSL auditját, hogy semmit nem találtak, aztán az összes böngésző mégis kicsapta a megbízható rootok közül és a Mozilla már nem fogad el auditot az EY Hong Kongtól? :)

https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and…

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

álmodik a nyomor.

nem jut a kádereknek, nem lesz belőle semmi.

a bkk iránti bizalom meg egyetlen vezetőt sem érdekel, amíg pénzt lehet kivenni belőle.

soha nem fognak belemenni egy nyílt rendszerbe, ahol a saját adataidat magad ellenőrizheted. kiderülhetne hogy az állam mire használja az adataidat a tudtod nélkül, és mire ez a nagy gépesítés a közigazgatásban.

Azért nyomornak nem mondanám, de süt belőle az idealizmus.
Ilyesmikre reális esélyek csak olyan helyzetekben vannak, amikor a rendszert teljesen borítják, ott is csak addig, amíg az új klientúra ki nem termelődik, és visszaáll a "régi rend" új emberekkel, esetleg kissé más címekkel, hatáskörökkel, struktúrákkal.
Sokan azt mondják "1989-ben tetszettek volna forradalmat csinálni", de még ha meg is lépik, és akkor egy rövid ideig ilyen jellegű haladó, előremutató dolgokat lehetett volna csinálni, de tartok tőre mára ugyanitt tartanánk, talán még egy évtizedre ugyanattól ami most van.
Akármit csinálunk Machiavelli kitermeli ugyanazokat a struktúrákat/módszereket/embereket idővel újra.

#based #magyartrump <3

Kellemetlen lehet amikor a sajtótájékoztatóra a régi jó hagyományok szerint újságírókat invitálnak meg ugye, és akkor azok helyett ilyen (((Tenczer Gábor-félék))) jönnek fitymálni :(

Megoldanám e problémát ott helyben szívesen. Csak amnesztiát kérek cserébe.

Nem mondom, hogy tökéletesen járt el a srác, de amennyire egy 18 évestől telik, viszonylag elfogadhatóan kezelte a helyzetet, az emailekbe írt pikírt megjegyzéseket figyelmen kívül hagyva. Nem értem miért írják ennyi helyen (ez az általam eddig soha nem látott Forbes.hu is kormányközeli?), hogy a "hekker" hozta nyilvánosságra a sérülékenységet. Amennyire én tudom, ő elküldte egy újságírónak. Ez nem nyilvánosságra hozatal. A Wikileaks is elküldte egy halom újságnak a cuccost, azok meg szépen ültek rajta amíg nem sikerült tisztázniuk, hogy ezt most akkor mikor és hogyan tudják nyilvánosságra hozni. Az újságírói szakmának is megvannak az etikai és egyéb szabályai. Az ordas hibát ebből a szempontból az újságíró követte el szerintem. (nem vitatom, hogy amit a srác tett az kimeríti a rendszer manipulálását, de nem ő hozta nyilvánosságra, és mintha azt írták volna telefonált is a BKK-nak rögtön -> hiába meríti ki a paragrafust, ha nem származott semmi előnye belőle, a társadalomra veszélyessége jelentéktelen, és egyből megosztotta az érintettel az információt - szerintem ha a sajtó a szabályok szigorúbb betartásával járt volna el, akkor nem lett volna ekkora ügy az egészből -> a srácnak sem kellene ekkora kanosszát járnia, pl nem tudom miért nem kérdezi senki, hogy az érintett újságíró a publikálás előtt megkérdezte-e a BKK-t, hogy mikor/hogyan közölheti le a sérülékenységet, hogy be legyen foltozva mikor megjelenik, vagy addig semmi olyan részlet ne derüljön ki, hogy a konkrét sérülékenység kiderüljön?).

Annyi csúsztatás van az egészben, csodálkoznék ha a végén bárki tisztán látna.

Alapvetően igazad van abban, hogy az újságírók is hibáztak, sőt, ők hibáztak a legnagyobbat.
Azonban a "srác" is, aki nem kezelte kellően profin az egészet az elején, akarta az 5 perc hírnevet (megkapta), illetve trollkodott is egyet a rendszerrel. Nem kellett volna. Ha nem így jár el, hanem megpróbál eljutni a megfelelő emberig a BKK-nál (aki esetleg továbbirányítja a T-hez), aki érti is, hogy mit talált, akkor kisebb a valószínűsége, hogy feljelentik. De így, hogy _azonnal_ kipublikálta (az elején talán twitterre?) illetve elküldte a sajtónak, amely 2 órán belül lehozta, mindkét cég támadásnak vette, és ennek megfelelően reagált.

Az "újságíró" meg, hát igen... Talán 10 tényfeltáró újságíró van Mo-on, akik a Wikileaks-es esethez hasonlóan jártak volna el, és csak kellő utánajárás, utánakérdezés, mérlegelés után publikálták volna. Az összes többi bértollnok meg imád hangulatot kelteni, trollkodni a rendszerrel, sz*rt kavarni, főleg, ha egy (a mindenkori) kormányhoz köthető bármiről van szó. Az mindegy, ha nem igaz, vagy nem úgy igaz, amit írnak, a lényeg, hogy le legyen írva és olvassák (nem csak ebben a konkrét esetben, sok más témában is).
Az egész ott indult, hogy minden "hírportál" azonnal tesztelni akarta a rendszert, és az összes arra hegyezte ki a cikkét, hogy mivel lehetne jól lejáratni a BKK-t és az e-ticket-et ("így sz*r, úgy sz*r, mobilnet kell hozzá, lobogtassam a személyimet is, ugyanannyiba kerül, csak a VB miatt kellett", stb.). Tőlük indult az is, hogy "jajj, plaintextben visszaküldték a jelszavamat, most vége világnak", amire a "hackerek" felkapták a fejüket és elkezdtek próbálkozni. Ha nincs ez az "újságírói" hype (lejáratás), lehet el sem jutunk eddig, vagy ha igen, akkor más kifejlettel.
Ezt, hogy 50Ft-ért tudott venni bérletet, egyből lehozták, pedig gondolom a "hogyan"ból egy rohadt szót sem értettek, de amikor hozzájuk került a lementett adatbázis, ahhoz már nyulak voltak, hogy teljes egészében publikálják (tudom, törvényszerűen jártak el, átadták a NEIH-nek). Ehelyett mutogattak egy homályos screenshotot, amiben 2016-os dátumok szerepelnek...

Megjegyzem, szerintem is egy halom f*s amit a T összedobott, viszont az egész történet minden oldalról rosszul volt/van kezelve, és ez a legrosszabb benne.

"hiába meríti ki a paragrafust"
nem meriti ki, mert: lasd a mondatod veget.

"hogy az érintett újságíró a publikálás előtt megkérdezte-e a BKK-t"
az allami cegek sportot uznek abbol, hogy nem valaszolnak "ellenzeki" lapoknak. Lehet el se olvastak a levelet, nem ez lenne az elso eset. Se a 16ezredik.

( Nickname | 2017. 09. 12., k – 20:47 )

Ha a következmények országa leszünk, vajon mi lesz itt ?

Igen. De vajon mikor lesz egy olyan, hogy IT Dev / IT Ops / IT Sec kamara lehessen, mint az építészeknél, ügyvédeknél, orvosoknál.

ok, ez troll gyanús, de akkoris.

PL: x,y public scanneren átmegy web oldalról, static code kütyün (Sonar, PMD, etc), egyéb csúnya toolon. És ha ezeket felmutatja, mint az x,y,z compliatot (w3c cuccok, owasp, etc) akkor azt mondod hogy hátha.

ITIL, Cyber security standards nem is merem kérni. Perf tesztek, forráskód, release és document standardok. Idea. De basszus. Egy statikus es jogász fel tud mutatni olyan dolgokat amiket betartatnak és elvárnak tőle. Mi mit? Települjön? Üzemeltethető legyen? Mérhető legyen? Etc.

Tudom, hogy a szakmánk a misztifikálásról szól, eladni a 2 percet 2 hétnek / hónapnak, a copy & pase-ot munkának, a paraméterezést kódolásnak, a tesztelést elhagyható húzható tényezőnek, de na. :)

uff. :)

Csalódtam. A "megoldjuk bárhogy gányolva hackkel" (mert más úgyse tudja) és a "csak standardok mentjén" (mert valahol mérnökök vagyunk) közötti libikóka ez évek óta. És generáljuk mi magunk. Lehet ezért van szakmánk valójában?

( jevgenyij | 2018. 06. 17., v – 00:18 )

Azóta teljesen törölték ezt a BKK e-jegy meg bérlet rendszert? Mert most rákeresve semmit sem találtam.
Nyom nélkül eltűnt az egész vagy nagyon eldugták.
T-systems-nek nem kellett volna kijavítani a hibákat? Vagy ez nem sikerült?

Normális HUP-ot használok!

A göbzitéren van automata, igaz? Mert a pofátlan taxisokat most elvből el akarom kerülni.

"A villamosok egy részén jelenleg amúgy is csak a mechanikus jegykezelő készülékek alkalmazhatók"
Ennek mi meg mit az oka? Kelleténél nagyobb elektromágnesesség, vagy csak nem tudják megoldani az áramellátásukat?

Normális HUP-ot használok!

Most ott tartanak, hogy a T-System javította a hibát tavaly év vége felé, és azt azóta is zártkörűen tesztelik. Illetve azt is emlegették, hogy ez majd a valamikor bevezetendő kártyás jegy és bérlet rendszer részeként fog működni. Ha figyelembe veszük, hogy az volt a terv, hogy 2017 második felétől a nyugdíjasok már az új kártyás rendszert használják, akkor szerintem 4–5 év múlva esetleg érdemes lesz megnézni, hogy akkor éppen hol tart a megvalósítás tervezés.

Már annak sem látom értelmét, hogy minek kell egy újabb e-jegy rendszer amikor a MÁV-nak van egy működőképes. Talán a MÁV online vonatjegy rendszerét kellett volna kiterjeszteni a BéKáMicsoda járataira is. Még az útvonalhosszfüggő jegyárakat is megoldaná mert a MÁV jegyrendszere eleve ilyen. És valami szövetségben is együttműködnek ha jól tudom.

Normális HUP-ot használok!

A Vonatinfó alkalmazás bétaverziójában lehet jegyet venni, ami nem PDF-et állít elő, hanem az alkalmazáson belül lesz egy jegy. Ha elmented az utasok és a bankkártyád adatait, akkor az útvonal megadása után pár gombnyomás és megvan a jegyed. Viszont a bétaprogramba nem lehet jelentkezni :/

Tele van zavaró hibákkal, amelyeket nem javítanak.

Például be van jelölve, hogy van BKK bérletem, mert Martonvásár - Kelenföld között az hasznos tud lenni, akkor nem tud tervezni például Martonvásár - Velence között, ki kell szednem, hogy van BKK bérletem, akkor tud. Az, hogy a UI fos, az is igaz.

Ja, láttam. Az is tulajdonképpen fos. Nekem valahol ott kezdődne 2018-ban a dolog, hogy jön a vonat, a vonaton az ajtónál van egy passzív RFID pad, odaérintem a telefont és már van is jegyem, a gyösz ebből tudja, hogy melyik vonat, mikor jött, hova megy. Amikor meg leszállok, akkor vagy odaérintem leszállás közben is vagy rájön magától, hogy én és a vonat már nem ugyanott vagyunk és kiszámolja, hogy mennyiért utaztam. Szerintem minden más megoldás múlt századi csökevény.

"aki csak úgy felszáll, az általában bérletet vesz neki mindegy."

Hát nem. A bérlet csak annyival könnyebb, hogy nem kell szopni naponta a jegyvásárlással, és akkor olcsóbb, ha havonta ~20-21 alkalommal használod... persze ha nem mindig ugyanoda mész, akkor pláne semmit nem ér.

"aki meg nem, annak meg így is, úgy is meg kell vennie a jegyet, hogy azt előre meg lehet váltani a neten valahol, az csak könnyebbség."

2018-van. Ráadásul a közepe. Hadd ne kelljen már ilyenekkel szopni, ha e-jegyről van szó.

"aki csak úgy felszáll, az általában bérletet vesz neki mindegy."

Hát nem. A bérlet csak annyival könnyebb, hogy nem kell szopni naponta a jegyvásárlással, és akkor olcsóbb, ha havonta ~20-21 alkalommal használod... persze ha nem mindig ugyanoda mész, akkor pláne semmit nem ér.

"aki meg nem, annak meg így is, úgy is meg kell vennie a jegyet, hogy azt előre meg lehet váltani a neten valahol, az csak könnyebbség."

2018-van. Ráadásul a közepe. Hadd ne kelljen már ilyenekkel szopni, ha e-jegyről van szó.

namost, csak egy gyors keresés alapján: http://homar.blog.hu/2013/02/27/ezert_szuntette_meg_a_mav_a_returjegyet

ha megnézed az aktuális üzletszabályzatot, ott is benne van, hogy menettérti csak 100 km fölött adható ki: https://www.mavcsoport.hu/sites/default/files/upload/page/mav-start_sze…

emlékeim szerint régebben a menettérti 100km alatt sem volt soknapra érvényes, de talán másnap még vissza lehetett vele menni (ebben már nem vagyok teljesen biztos).

az, hogy ettől a pénztárban adnak neked oda egy, meg vissza egy jegyet, meg hogy a weben ez szar: tökre igazad van. de menettérti jegyet ott is csak 100km fölött ad a vasút jóideje.

Kurvára nem érdekel a MÁV-os szakzsargon. Nekem és az átlag utasnak a menettérti az, hogy egy tranzakcióban veszek két jegyet, oda-vissza és ezért nem kell végigszopnom a teljes jegyvásárlási folyamatot, egyszer oda, aztán vissza. Ívben leszarom, hogy ezt menettérti vagy oda-vissza vásárlásnak hívják és mást értenek alatta.

Szerintem meg semmilyen RFID, NFC pad sem kellene. GPS+Glonass alapján be lehet lőni az utas helyzetét és mozgását. Ebből lehet tudni melyik járaton van és mely állomások között utazik. Ezek alapján utólag levonja a pénzt a távolságnak megfelelően minden leutazott megállóhelyen az előre feltöltött pénzmagból.
Az utasnak annyi dolga van, hogy a mobil applikációban bepöccintse az "utazok" gombot, majd az utazás végén kikapcsolja. Átszállások közben nem kellene kikapcsolni, helyadatokból pontosan lehet tudni, hogy éppen valamelyik járaton van az utas vagy várakozik vagy épp gyalog megy egy közeli megállóba. Hasonló rendszerben működik a fizetős tehergépjármű forgalom.

Bérletnél is lehetne így követni az utazási szokásokat és ennek megfelelően optimalizálni a járatokat. Ha minden utasnak érintgetni kellene a mobilját az nagy tömeg mellett körülményes. Nem is alkalmas rá minden mobil.

Értem én, de legtöbb kalauz „úgy működik”, hogy ha legközelebb arra jár, akkor már emlékszik az arcomra, így nem kéri újra a jegyet ellenőrzésre. Tehát ha a kalauz ellenőrizte a QR kódomat, után nyugodtan megnyomhatom az utazás vége gombot. Mondjuk a következő állomásnál, hogy ne legyen feltűnő.

A javaslatod alapján a kalauznak minden egyes végigsétálásnál minden egyes QR kódot ellenőriznie kellene. Ők ennek biztosan nem őrülnének. Ritkán utazom vonattal, de tapasztalatom alapján egy QR kód ellenőrzések kb. 1 percig tart szerencsés esetben. 100 utas -> 100 perc -> Biztos, hogy ez jó ötlet?

persze, álmodni sokmindenről lehet, először legyen ember aki vezeti a vonatot stb. Nem, az önvezető jármű kora -nálunk- még nem jött el ezen a téren.. Ha üzembiztosan minimális késésekkel tudnak közlekedni akkor álljanak neki bonyolítani a meglevő kőkorszaki infrastruktúrát. Kb olyan mint az e-recept. Kell a halálnak, helyette sokkal értelmesebb dolgokkal is foglalkozhatnának ugyanabból a költségvetésből..

"Ha üzembiztosan minimális késésekkel tudnak közlekedni akkor álljanak neki bonyolítani a meglevő kőkorszaki infrastruktúrát."

Az a bonyolítás, ami most van, hogy öt forrásból tudsz venni minimum ötféleképpen jegyet, amit ötféleképpen ellenőriznek.

--
https://iotguru.live

Ezt már tavaly alaposan kibeszéltük, a lényeg, hogy a máv jegyét arra találták ki, hogy ücsörögve komótosan leolvassa a kaller, nem tucatnyi ember próbál átsietni vele egy beléptetőkapun. Amúgy érdekes lenne a mávos rendszert nem bérlet hanem távolságfüggő jegyvásárlásra használni, minden út előtt bepötyögöm honnét hova utazok, és fizetek kártyával, mindezt egy mobilra nem optimalizált weboldalon bepötyögve?

"Már annak sem látom értelmét, hogy minek kell egy újabb e-jegy rendszer amikor a MÁV-nak van egy működőképes."

Maradjunk annyiban, hogy a MÁV-nak van e-jegy rendszere. A működőképestől eléggé messze van, napi szinten vannak fennakadások (az elmúlt héten például alig volt időpont, amikor lehetett venni jegyet) és annyira elavult, hogy már akkor elavult volt, amikor üzembe állították. Egy foshalom.

( hnsz2002 v | 2018. 06. 18., h – 20:21 )

http://dkv.hu
Véletlen ma találtam. Pár éve még katasztrófa volt. Egész vállalható.... Nem mertem megnézni, hogy át tudom-e írni a bérlet árát. :)
--
"Sose a gép a hülye."

Menj vissza ebben a szálban 4 hozzászólást és megtalálod a linkjét :) Annyira nem nehéz!
Olyan gyöngyszemek vannak benne mint:
"hvg.hu: Sok szakmabeli ezért nem értette, egyáltalán miért vállalták el. Ön szerint nem volt kódolva a bukta, mert eleve képtelenség ennyi idő alatt fejleszteni egy ilyen rendszert?"

"hvg.hu: A Fina-vb a kormány, az úszószövetség és Budapest kiemelt eseményének számított. Volt politikai nyomás, hogy az online jegyértékesítésnek muszáj addigra működnie? Jöttek telefonok, hogy "Zolikám, ugye meg tudjátok csinálni"? Üzent Gyárfás Tamás?"

Már-már ártatlan áldozat szegény T-Systems, akik csak rosszkor voltak rossz helyen.

Nekem egyáltalán nem ez jött le belőle. De ezek sem tűnnek újságírói magyarázkodásnak:

„hvg.hu: A hvg.hu szerezte meg és hozta nyilvánosságra az ön kiszivárgott e-mailjét, amiből kiderült, hogy óriási volt a kapkodás: alig 3 hónap alatt készítették el a rendszert, és az utolsó napon saját dolgozóikkal teszteltették amatőr módon, Bubi-bérletet felajánlva.”

Vagy:

„hvg.hu: A botrányos kommunikációban arccal is részt vevő két T-Systems felső vezető viszont már nincs a cégnél: Lakatos András a közszféráért felelős üzletág-igazgató és Takács József informatikai biztonságért felelős igazgató is távozott a történtek után.

K. Z.: Mindketten saját kérésükre távoztak.

hvg.hu: Ugye tudja, ez hogy hangzik? Pont, mint a közös megegyezéses távozás, ami mindig péntekre van időzítve.”

Amikor a botrány kitört, akkor azt nyilatkozták, hogy egy alvállalkozó készítette a programot. Ebből a szövegből viszont az sejlik fel, hogy nem volt semmilyen alvállalkozó.

„bug bounty-nál egy meghirdetett időablakon belül regisztrálnak be a hekkerek”

Ja, minden héten, hétfőn 00:00-tól vasárnap 23:59-ig. Komolyabb cégeknél előzetes regisztráció nélkül.

„de tény: abban a pillanatban, hogy elindultunk, folyamatosan jöttek budapestiek és nem is Budapesten élők regisztrációi és a támadások is.”

Teljesen meglepő, hogy egy városban, ahol naponta kb. 1 millió ember* utazik tömegközlekedéssel, ott néhány ezren/tízezren regisztrálni akarnak már az indulás pillanatában. Például tőlem kb. 1,5 km-re van a legközelebbi automata, ahol jegyet tudok venni. Ha nincs jegyem vagy bérletem, akkor két választásom van: Vagy megveszem a buszon a drágább jegyet, vagy gyalogolok 1,5 km-t. Illetve a harmadik lehetőség, hogy autóval megyek, de ahhoz nem kell jegy/bérlet.

Illetve, ha csak az utasok 10%-a utazik jeggyel, az akár napi 100 ezer vásárlást is generálhat.

*: 2017-es adat: munkanapokon kb. 4,5 millió felszálló utas van. Ha előbb busszal utazol, utána metróval folytatod, akkor az 2 felszállásnak számít.

"Ezért is mi voltunk az egyetlenek, akik szakmailag megszólíthatóak voltunk, és az én, valamint kollégáim értékítélete is az volt, hogy nehéz lesz, de meg tudjuk csinálni."

És nem sikerült. Sőt, nem az hogy nem sikerült, de iszonyat amatőr megoldásokat használtak. Ebből nekem az jött le, hogy ők voltak szakmailag annyira nyomik, hogy meg lehetett őket szólítani, bármit is jelentsen ez.

( mark7 | 2018. 08. 29., sze – 16:08 )

bkk.hu

503 Service Unavailable

Nálatok is?

Ismétlés a tudás anyja :)

11. Ki gyártotta, ki telepíti és ki üzemelteti a kapukat?
23. Ki gyártotta és ki telepíti a készülékeket?
36. Ki telepíti a készülékeket?
37. Ki gyártotta?

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Origo:
Bagdy Gábor jelezte, hogy a fővárost nem érte anyagi kár. Kitért ugyanakkor arra is, hogy a probléma hosszú ideig tartó elhallgatása miatt
„a főpolgármester a szükséges személyi döntéseket meghozza”.

Ezek szerint a BKK egy, a fővárostól teljesen független entitás, és a BKK-t ért kár* semmilyen módon nem érinti a fővárost. Akkor viszont nem értem, hogy milyen alapon akar a főpolgármester személyi döntéseket hozni. Illetve egy picit az is bezavar a képbe, hogy a BKK Budapest Főváros Önkormányzatának 100%-os tulajdonában áll.

*:
- Kifizettek valamiért egy rakás pénzt, ami jelenleg használhatatlan. Ha szerencsénk van, akkor a hardware nem a Deutsch-féle beléptető kapuk sorsára jut. (Milyen kicsi a világ: Akkor a beléptetőkapu tendert a T-Systems Dataware Kft. nyerte.)
- Ettől a jegyrendszertől a bliccelés visszaszorulását várták, tehát a bliccelők miatti bevételkiesés is jelentős kár.

Csak figyeljünk, nehogy MITM segítségével elkapott http header isTest flaget true-val beküldve átszaladjunk a gépezet mellett, ami majd a stadionokba is el lesz adva meg Ferihegyre meg a kisvasútra és persze a rögbi centerhez is a kórházi "vizitdíj" helyett "nemzeti egészségkontroll hozzájárulási díj" -ként.

Uff

( Charybdis | 2018. 11. 30., p – 18:24 )

Hát ez elkeserítő, 2004 óta ígérgetik az e-jegyrendszert, és mai napig nincs belőle semmit. Helyette viszont odaállítanak 4 ellenőrt a metróbejáratokhoz, akik sírásig vitatkoznak a külföldiekkel, hogy miért nem vettek jegyet.

Vitézy Dávidot nem kellett volna elküldeni, ő legalább értett hozzá, de az már 5 éve volt!

Az innovatív világvárosok abba az irányba mennek, hogy legalább a belvárost próbálják autómentessé tenni, tehát erősítik a tömegközlekedést, a taxizást (nem fix taxitarifával, hanem versennyel), terelik az autókat a környezetbarát működés felé, de a belvárosból próbálják kiszorítani az autókat és zölddé tenni, valamint erősítik a gyalogos és biciklis közlekedést. Jönnek az önvezető elektromos autók, a jövőben egyre kevesebb autóra lesz szükség, mert egy önvezető autó ki tud váltani több ember vezette autót. És Budapesten szar a levegő, ami ugye részben az autók miatt van, ha csökkenteni akarjuk az autókat, akkor pl. a tömegközlekedést kéne fejleszteni, ha esetleg nem akarunk évekkel korábban tüdőrákban meghalni.

Esetleg ha Budapest is világváros kíván lenni, akkor ki kéne jönni a 70-es évekből, és be kéne lépni a 21. századba végre.

> Vitézy Dávidot nem kellett volna elküldeni, ő legalább értett hozzá, de az már 5 éve volt!
> Esetleg ha Budapest is világváros kíván lenni, akkor ki kéne jönni a 70-es évekből, és be kéne lépni a 21. századba végre.

Haha, jövőre a BKK is megszűnik, aztán majd visszatérünk oda, hogy minden lámpát más-más szervezet hangol a fővároson belül...

Mármint közlekedési lámpák. De szerintem elbeszélünk egymás mellett.

Vitézy említette párszor (pl. itt), hogy mekkora káosz volt a fővárosi közlekedésszervezésben 2010 előtt („szemetesek által menedzselt lámpákig és közutakig”).

Azt meg már Tarlós megmondta már jóelőre, hogy még az a kevés BKK is megszűnik jövőre, ami most még megmaradt. :\

Bár erről jó lenne valami statisztika, de szerintem a most autózók nagy része akkor se szállna bkv-ra, ha mágnes vasút közlekedne minden dízelbusz helyett és nem is fog amíg nincs rákényszerítve.

Kicsit olyan ez, mint a vengéglátóhelyeken történő cigizés betiltása: a dohányosoknak kellemetlen, de a végeredmény mindenkinek jobb.

ha nem lehet behajtani a belvárosba, akkor muszáj :) vagy tömegközlekedés, vagy bicikli, vagy gyalog.

bár nem teljes tiltás, csak részleges: https://444.hu/2018/11/30/matol-csak-zero-kibocsatasu-jarmuvekkel-lehet…

+ "Oslo városában pedig arra törekednek, hogy a városközpont teljesen autómentes legyen."

( hnsz2002 v | 2018. 12. 01., szo – 09:14 )

Debrecenben nem szaroztak, az e-személyihez kapcsolták. És már elvileg működik, bár én még nem láttam, mert nem szoktam tömegközlekedni.
--
"Sose a gép a hülye."

...vagy külföldi. De nyilván ilyen esetekre kiváltható a CSAK az utazási rendszerhez használható NFC kártya, vagy épp NFC mobil app - kb. ez a trió lenne mindenhol normális a mai világban. (esetleg a mobilapp-hoz +backup QR kód, ha nem NFC-s a telefon)

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Egy gyors keresés után nekem úgy tűnik, hogy Debrecenben bevezették az elektronikus jegyrendszert is. Azaz a papír alapú is létezik. Arra nem találtam információt, hogy a papír alapú jegyeket és bérleteket mikor, és hogyan vezetik ki. Illetve mi lesz azokkal, akiknek nincs e-személyijük. Külön kiváltható utazási kártyáról említés sincs.

Jelenleg most két rendszert párhuzamosan működtetnek, ami nem nevezhető költséghatékonynak. Nyilván évek kellenek ahhoz, hogy teljesen átálljanak egy új rendszerre. Viszont az nem ártana, ha erre lenne egy terv is. Már azon kívül, hogy mindenki meghal, akinek nincs e-személyije, mert az még 20-25 év. Lenne, ha már nem lehetne határidő nélkül személyit kiváltani. De lehet.

Ezzel szemben a budapesti terv az volt, hogy néhány év alatt teljesen átállnak, és csak elektronikus jegy lesz.

Ha a külföldiekkel nem foglalkozunk: Akkor kötelező, ha nem rendelkezel érvényes útlevéllel, vagy kártya formátumú vezetői engedéllyel. A 2000-es évek eleje óta.

Kiegészítés:
A túl fiatal kitételem viszont téves volt, mert Debrecenben diákigazolvánnyal is működik a dolog.

Amire én reagáltam, az Debrecenről szólt. Az viszont igaz, hogy ott is sok turista van. Illetve az egyetem miatt külföldiek is élnek ott.

Viszont a lényeg az lett volna, hogy a debreceniek (vagy akár a budapestiek) egy része nem rendelkezik olyan igazolvánnyal, ami lehetővé tenné az elektronikus jegyrendszer használatát. Azért is lényegtelen a külföldiek kérdése, mert ha a most rendszerből kizárt helyiek problémáját jól oldják meg, akkor ezzel a külföldiek problémáját is megoldották.

Papír jegy, bérlet: A sajtónyilatkozatokban azt emlegették, hogy mekkora megtakarítás, a kevesebb bérletet kell nyomtatni. Ez lehet hogy igaz, de az igazán nagy költség a jegypénztárak és a jegykiadó automaták üzemeltetése, az ehhez szükséges személyzet (pénztáros, karbantartó, ?) költségei. Például az automatákban levő nyomtatók élettartama is kérdéses. (Ha jól rémlik, ebből már volt is probléma.) Ha nincs papír alapú jegy, akkor nyomtató sem kell. Az alacsonyabb beszerzési ár, mellett a megbízhatóság is növekszik.

Mint én is írtam, nyilván kell valamennyi átmeneti időszak. De egy ilyen átmenetet 2 év alatt meg lehet valósítani. Ez elég idő ahhoz, hogy teljesen kiépítsék a rendszert, és az esetleges hibák is kiderüljenek. Mert azok biztos, hogy lesznek.

Őszintén szóval én nem szívesen használnám a személyimet ilyen célra. Ez egy személyes okirat nem fizetésre való. Ennyi erővel ujjlenyomattal vagy vénaszkennerrel is fizethetnénk.
Egy RFID tag kb 10-20 ft akár mindegyik jegyen is lehet, de szerintem az sem okozna senkinek gondot, ha 100ft-ért meg kell vásárolni egy kártyát amire aztán később lehet tölteni neten/automatából/stb.

Egyébként a RIGO kártyás rendszer lenne: https://rigo.bkk.hu/mukodes

Szerintem ott lett elrontva, hogy nem mindenhol egységes működést terveztek, tehát villamoson és nem "elsőajtós" buszon csak azoknak kell érvényesíteni, akik jeggyel utaznak. Ez azért ordas hiba, mert így nem kapnak realtime utasinformációkat a jegyrendszertől, tehát nem tudja dinamikusan alakítani a járatsűrűséget. Másrészt ha _mindenkinek_ kell csippantania, beleértve az ingyenbérlettel rendelkező nyugdíjast is, akkor pl. ennek a szolgáltatásnak a pontos költségéről és kihasználtságáról is naprakész információkkal rendelkeznének automatikusan. Ezek az információk elengedhetetlenek lennének Budapest közlekedésének tervezéséhez...

Viszont ettől még tény, hogy a debreceniek kb, 2/3-a nem tudja használni a rendszert, mert nincs megfelelő igazolványa.

2015 végéig még a régi igazolványokat lehetett kiváltani, és azok 10 évig érvényesek. Azaz 2025 végéig lesz olyan érvényes személyi, ami jegyvásárlásra nem alkalmas. Tehát vagy bevezetnek valamilyen külön kártyát is, vagy addig fenn kell tartani a papír alapú jegyek és bérletek értékesítését. És utána még mindig lesznek a külföldiek, plusz akiknek csak jogosítványa, és/vagy útlevele van.

Értem én a törekvést, hogy minden az e-személyi intézzünk, mert akkor az állam még többet tudhat rólunk. Viszont akkor ne hagyjunk ki két fontos lépést:
1. Zárjuk le a határokat a külföldiek előtt. (Ez csak EU tagként nehéz, a kilépés után nem lesz probléma.)
2. Kötelezzünk mindenkit az e-személyi kiváltására.

( NewC | 2018. 12. 03., h – 08:35 )

subs
--
"Csak webfejlesztést ne..." -ismeretlen eredetű szállóige-