BKK e-ticket

 ( toMpEr | 2017. július 14., péntek - 16:44 )

> A szerver felé továbbított kérésben a kosárba rakáskor kell átírni egy számot, mert a böngésző küldi el a szervernek, hogy mennyibe kerüljön a bérlet.
- via Meghekkelhető a BKK rendszere, bármennyiért lehet jegyet venni

Cleartext jelszótárolás


via https://twitter.com/vista_df

Valamint:

> "Úgy látszik magától nem csatlakozik a netre, és ezért mondták azt, hogy naponta legalább egyszer frissíteni kell a felületet. "

Ennek vajon mi értelme? Feltételezem van egy QR kód, azt leolvassa az ellenőr és központi szerver segítségével egyből látja a random id-hez tartozó adatokat. (persze lehetne digitális aláírással offline módon is csinálni, de ilyen űrtechnikát nem feltételezek)

Próbáltam keresni a rendszer kiépítésére szánt költséget, de a "BKK eticket millárd" -ra a google csak egy 2013-as cikket dobott ki:
> "A döntés értelmében a bank 54,5 millió euró értékben finanszírozza a projektet, amelynek bevezetése jövőre kezdődhet el. "

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Tudod, nem az a fő gond, hogy a szakma szégyeneivel rakatták össze ezt az egészet (vagy kezdő juniorokkal), hanem az, hogy erre valszeg milliárdokat költöttek.

+1 :(

+ rejtett sub

Mondok ennél főbb gondot is: akadunk sokan, akik akkor IS káanyáztak, amikor Fletóék csesztek el negyedmilliárdot kormányzati kommunikációt szolgáló, egyébként ingyenes szoftokra - de sokkal többen vannak, akik szakmai érzékenysége szelektív, és CSAK akkor káanyáztak.
A legeslegfőbb gond, hogy ez minden szakmai területen elmondható.
A bárányok hallgatnak, Clarice.

Ubuntu 5000ft/gép. Jöhet :D

Ez valami szenzációs :D Nem hittem el mikor olvastam az indexen a cikket, de kipróbáltuk kollégákkal. Az egész rendszer nevetséges. teljesen kamu emailcímmel (aktiváló email nélkül), pár perc alatt ott voltunk az OTP oldalán ahol 1Ft-ot kért volna a rendszer a bérletért :D Nyilván nem vettem meg, de ez egy hatalmas vicc. Elképesztően kíváncsi lennék arra, hogy ezt kivel és mennyi pénzért csináltatták meg. Ez körülbelül egy középiskolai szintű programozás számtechórán. Bár én 16 évesen már büszkén megoldottam, hogy csak aktiváló email után tudott a kedves user belépni :)

De azért komolyra fordítva a szót: milyen ócska utolsó senkiházi céget sikerült ezzel a melóval megbízni ahhoz hogy POST paraméterben adjuk át a fizetendő összeget, és ez senkinek nem tűnik fel a fejlesztések, tesztelések során, kirakják productionbe és még ők ugatnak, hogy informatikai támadások érik őket. Hát édes istenem, ekkora istenverte lámákat az utóbbi 20 évben nem látott Közép-Európa...

Állítólag lesz ennél jobb is, holnap délután...
--
blogom

ezek szerint nem holnap délután :-)
--
blogom

Ebbol meg nagy botrany lesz.

Miféle botrány? Cikkezgetős-háborgós botrány, esetleg adatvédelmi hatóságilag megbüntetős ejnye-bejnye?

Vagy az informatikai vezetőt, és a beszerzésben érdekelt mindenkit teljes vagyonelkobzás mellett lecsukatós botrány... mert az kéne.

Botrány? biztos lehetsz benne, hogy ennek az egésznek sem személyi, sem anyagi, sem jogi következményei nem lesznek.
Hacsak nem kikiáltanak a fejlesztés lánc alján egy junior coder-t bűnbaknak, ha már nagyon muszáj lesz csinálni valamit. De abban biztos lehetsz, hogy azokon a menedzsment szinteken, ahol azt kellett volna mondani, hogy "Ne már gyerekek, ez most komoly?!?!? Na üljetek szépen vissza a gép elé,és fussatok neki újra! dekurvagyorsan!!!", na ott semmiféle következménye nem lesz. Se megrendelői oldalon, se beszállítói oldalon...

Én is tartok ettől, de azért annyit megtehetnénk, hogy bejelentjük az adatvédelmi hatóságoknál az esetet. Kellene külföldi érintett, hogy ők is megtegyék a saját országukban.

Az egész problémát Soros találta ki. Az e-jegy tökéletesen működik, csak pár bűnöző visszaélt vele, és megpróbálta átverni a BKK-t. Természetesen nem sikerült.

Ez most szarkazmus ? kérdezte Sheldon, mert nem mindig találom el..

Bazinga - és most a hétvégén patchelnek vagy homokba dugják és nem ismerik el...
első fázisnál tartanak - elutasítás, tagadás és jön a düh

Nem szarkazmus, tényleg lehallgatnak! - Mondta Stirlitz!

“- És ha… fizetést ajánlanék, hogy dolgozzon?
– Engem nem lehet megvesztegetni.”
Rejtő Jenő

sajnos látom, hogy _egyes_ állami IT projektek hogyan valósulnak meg - lenne kedvem kiálltani b@meg az nem az alagút vége fénye, hanem
szembe jön a vonat...

és egy-egy projekt átadás/lezárás kapcsán, "MEZTELEN a Király" - nincs kész, nem működik - Ezt hittem hogy a szocializmussal ennek _IS_ vége :-(

Sajnos ez van ha a "menedzsment szinteken" valakiknek a valakikjei ülnek, nem pedig hozzá értő emberek. Ez mára már teljesen általános, nem csak az IT területen.

Észre kell venni, hogy ez a tragikomédia csak a legalsó szintjén IT-balhé. Mondhatni, a legkevésbé az: a belső vérzéstől lázas és kómaközeli betegen a gennyes kiütés, ami a legjobban látszik.

Gyönyörű hasonlat:)

Vagy inkább szemléletes! ;)

:D (y)

Még, hogy következmények ... itt, Abszurdisztánban?
Nem tudom mit szívsz, de add meg a dealer-ed számát. Nekem is kell abból a cuccból :D

ha bantjak a bkk e-ticketet meghosszabbitjak bicskeig..

ez a post nálam nem jön be most. valaki leírná hogy miről szól(t)?
köszi

Az összes felhasználó minden beírt adatát elérte, beleértve a plaintextben tárolt jelszavaikat.

az bájos...

Most már amúgy kijavították a "bármennyiért" vehetsz jegyet hibát. De kiindulva ebből, gondolom még 1000 másik lyuk tátong a rendszeren.

Da ha jól gondolom ehhez mind a kliens, mind a szerver oldalon kellett vátoztatni, és erősen kétlem a mély tesztelést. (Mondjuk ha belegondolok, a kliens oldali módosítás elhagyható, égül is elég, ha aa szerver nem veszi figyelembe az átküldött paramétert.)

Vajon hogy zajlott a sérülékenységi teszt: "Mancika, próbálja már megtörni!"

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Publikus bétateszt van.
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

analfa-bétateszt

Egy facebook postról volt egy screenshot, itt is megtalálod.

köszi

google cache is túl bonyolult ha a waybackmachine-en nincs meg? :)

Fő a kedvesség és a segítőkészség, ami árad a hozzászólásodból. Tipikus hupra való :)

részben jogos, de majd 10éves reggel talán elvárható lenne egy minimál erőfeszítés/próbálkozás mielőtt feladod :)

*keresi a hup szabályzatát, ahol az elvárások listázva vannak*
*not found*

Nézd, nem jutott épp eszembe, mert egyébként minden mással foglalkoztam. Ez van. A rosszindulatú visszakomment inkább gáz, mint hogy nem néztem utána, ráadásul ahogy látom hiába tettem volna.

Egyébként meséld még el, milyen kötelező eszközöket illik ismernie egy 10 éves hup regnek?

nem szabály, csak én gondoltam így. de ha bántónak érezted akkor megkövetlek: elnézést.

ahelyett, hogy elkezded tolni a kretent fullba (pedig emlekezhetnel a szabalyra) inkabb leirhattad volna hogy igaza van, es sorry, nem jutott eszedbe, de e helyett csak picsogsz...

Leírtam, hogy nem jutott eszembe, és nem érzem, hogy bocsánatot kellene kérnem azért, mert nem kutattam fel az internetet egy törölt cikk után. Ja és nem picsogás :)

"A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni."

EZ BAZMEG!

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

"A BKK sajnálattal tapasztalta, hogy a beszerzett járműveit a csapadék folyamatos korrózióval próbálja tönkretenni."

+1 nevettem

[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS

+100

Hatalmasat nevettem volna, ha lenne hangom.

:DD
--
"Sose a gép a hülye."

Nevettem volna, de sajnos túl közel van a valósághoz ahhoz, hogy szarkazmusnak tekinthessem. :)

Jelentsék fel a csapadékot is :D

Ez nálam is kinyitotta a bicskát a zsebemben.

Erre szavak nincsenek.

TROLL:
Valakinek a tesójának az unohagúgának az öccsének a keresztapjának a lánya végzett 14 hónap alatt a programozó iskolában, szóltak neki, "alapíccsá tesó céget", mert van egy vaskos megbízásunk.

Ameg, összeprogramozott egy mondern felületet pár misiért. khm, milliárd inkább. Azt jóvan az úgy, majd a sajtó osztályon megmondják a tutit, hogy nem a rendszer a rossz, mert egy okleveles profi csinálta, hanem az emberek a hülyék, mert rosszul használják.

Ki is rakhattak volna egy nagy piros gombot "ne nyomd meg!!" felirattal, ami triggerel egy "rm -Rf /" -t a site-ot hosztoló szerveren. /Tuti úgyis root alatt fut, hogy megoldjanak vele pár jogosulltsági gondot :D/
Aztán ha valaki megnyomja, beperlik, mert oda vótt há' íva, hogy ne nyomd meg tesa. :D

ctrl+u után még wordpress-t is látok.
Remélem a WP frissítésre is kötöttek egy vaskoks megbízási szerződést, hogy frissítve legyen. :)

----------------------------------------
o.-

Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips PHP/5.6.26
Ebbol kb kitaltalhato, hogy CentOS 7 futik alatta. Viszont a PHP maga 5.6.26 ... eleg regi es jopar CVE is jott ki ra...

Nem ertem egy Prod rendszer miert hirdeti magarol pontosan, hogy micsoda. Emlekeim szerint 1 parameter atirasaval nem mond tobbet magarol csak, hogy Apache ...

De akkor is az a hozzaallas, hogy feljelentunk mindenkit, de hagyjuk a tervezesi, implementalasi, alapvetoen rosszul mukodo oldalunkat futni... Nevetseges...

Önmagában a szoftververzió nem jelent egy CentOS-en vagy Debian-on vagy Ubuntun foltozatlanságot. Szeretik meghagyni a kiadáskori verziót, de ettől függetlenül backportolgatják a biztonsági és hibajavításokat. Az más kérdés, hogy a megfelelő production konfig már az adminon múlik.

Ezzel a backportolassal teljesen tisztaban vagyok.

Mas kerdes, hogy nem az adminon mulik egy ilyen helyen. Megfelelo technikai specifikacionak kellene leteznie minden alrendszerre aminek ki kellene ternie a minimalis biztonsagi beallitasokra. Itt bele kene tartozzon, hogy nem hozzuk orszag vilag tudtara, hogy milyen verziot hasznalunk (dolgozzanak meg erte)... De hat ez a BKK-nal neha nagyobb helyeken sem megy zokkenomentesen...

Sikertörténet!!!

Sql injekció majd meggyógyítja:)

Csodálom, hogy még nem történt meg.

csak egy szó: szégyen

és a legjobb az egészben,ahogy korábban is írta valaki, a felelősök úgy sem lesznek elővéve.

Majd a 18 éves gyerek elviszi a balhét, aki galádul rájött erre az egészre és próbaképp vett egy 50 forintos jegyet, amit nem használt fel, de pechére értesítette ezeket a szakbarbárokat, akik a feljelentették köszönetként.

Azért azt az apró pici tényt elfelejtetted, hogy a(z egyébként nem olvasott email cimre történő) "bejelentése" után azonnal szaladt a sajtóhoz és ebből kirobbant az elmúlt évek egyik legnagyobb ilyen jellegű cirkusza.

Valószinű inkább emiatt jelentették fel és nem azért, mert csendben megkereste őket és szólt nekik a problémáról.

Jah gyerek fasz volt. Varnia kellett volna, hogy fixet berakjak sprintbe es 2 het mulva commit kedden kimenjen javitas. Ugy legalabb adott volna eselyt mindenkinek letolteni a teljes adatbazist. Igy viszont akik nem olvastak hireket lemaradtak ingyen adatokrol :(

De gondold el, milyen kellemetlen volt szegény Senioroknak, el tudom képzelni, hogy be lettek rántgatva, hogy 3 óra alatt fixálják meg a rendszert.

Elég csúnya lehet a helyezte a T-rénél, ha ezt egy(több) senior követte el.

Remélem, ezt Juniorok követték el, csak nem volt senior a csapatban. Remélem.

Az az apró tény nehogy kizökkentsen az eszmefuttatásból, hogy a feljelentett gyerek nem az info leak-et fedezte fel, hanem a jóárasitott bérlet vásárlás lehetőségét és szaladt is a sajtóhoz elmondani a részleteket, hogy mindenki tudjon lopni.

En ugy tudom, hogy szolt a BKK-nak, de nem erdekelte oket. Viszont mivel mindenki jelszavat el lehetett lopni ezert fordult sajtohoz, hogy hamarabb megoldodjon.

"szaladt is a sajtóhoz elmondani a részleteket, hogy mindenki tudjon lopni."

Többször el lett mondva, hogy előbb a bkk-nak szólt, és akkor írt a sajtónak, amikor nem kapott választ. Cikkekben volt, srác is nyilatkozta, stb. Itt is le volt írva többször. Mi a francért kell tényként ilyeneket állítani ezek után is????

Amúgy konkrétan mennyi idő telt el a BKK és az Index értesítése között?
Nem kötői kérdés, tényleg nem tudom.

allitolag egy hetvege.
pentek: email bkk-nak, hetfo: email sajtonak.

Magyarul a gyerek pénteken bedobta a hétvégén zárva tartó ügyfélszolgálat email címére a cuccot, és hétfőn elment a sajtóhoz? Szép.

"(az év minden napján 24 órában fogadjuk ügyfeleink hívását)"

Sajnos külön nincs kiemelve az emailes support, de ha telefonos van 0-24-be, akkor az emaileket is olvassák talán, nem?

Ezt én is láttam, de felteszem, a 24/7 ügyfélszolgálat ilyenkor skeleton crew-val megy, nem tartom valószínűnek, hogy emailekre válaszolnak. Legalábbis máshol így szokás, a BKK-nál fogalmam sincs, úgyhogy fixme.

nem tartom valószínűnek, hogy emailekre válaszolnak

Akkor biztonsági incidensekre hogy a faszba reagálnak 7x24-ben?!?!?!?

(A kérdés költői volt, nyilván sehogy, most keresgél a TSH a leendő SOC-jébe embereket)

+1

+1

Direkt visszakerestem, és jól emlékeztem: én pl. leveleztem ügyfélszolgálattal tavaly dec. 23-án, péntek este. Szóval nem lehetetlen megoldani, ha a szolgáltató fontosnak tartja.

Cuki ez az oktondi okoskodás amivel megideologizáljátok hogy az anyu lakcímváltoztatása és a latest bevezetett rendszer bugreportja aminek az L1 supporttól kezdve át kellene mennie még egy másik céghez is (T) az egy és ugyanaz.

Igazad van, az utóbbinak sokkal gyorsabban kellene mennie.

Hát, ha egy 500 useres kis cég tud supportot fenntartani hétvégén és ünnepnapon, míg egy közszolgáltató nem, akkor utóbbinál kurva nagy a baj. (A BKK a szerződő fél, leszarom, hogy a T mit csinál.)

Attól függ, mi a termék. A BKK-nak is van ezek szerint 24/7 support vonala, de gondolom arra nincs processz, hogy a L1 menetrendolvasó (line of business) nénitől hogy kerül hétvégén a T-s fejlesztőhöz a ticket.

Nem az a baj, hogy a T-hez nem került át, hanem hogy egy bazdmeg-et se irtak vissza.

természetes is hogy a responsible disclosure jegyében országos botrányt kell csapni a szombat reggeli feles lehúzása után

EDIT: pláne hogy azóta ez a hazugságod is megdőlt, lévén az indexmail is pénteken ment.

juj, megyek is hupmeme-re?

Volt rá hatmillió sékelem hogy nem "mea culpa" jellegű szöveggel fogod kezdeni a kommented

neked bármit

sékeled?

fabatkám, tallérom

Persze, nálunk is van olyan telefonszám/email, amin 24/7/365 adnak supportot, de ennek a felhívása/megcímzése nem olcsó mulatság. Nem ismerem a BKK ügyfélszolgálatot, de ha tippelnem kéne, hajnali kettőkör felhívva őket max abban (nem) tudnak segíteni, hogy az automata benyelte a pénzedet. De ahogy fentebb írtam, igazából fogalmam sincs, ha valaki jobban tudja, cáfoljon meg nyugodtan.

Közszolgáltató-e vagy?

22-25m -ba egy hetvegi on-call support nem fér bele? Bevezetés két hetében / hónapjában pláne?!

De belefér, sőt, ha tippelnem kellene, van is ilyen. A kérdés, hogy az ügyfélszolgálatban ülő menetrendolvasó néni hogy jut el a T-Systems hibabejelentőig, pláne ilyen rövid idő alatt.

sehogy. Látja hogy hülye hozzá ezért továbbítja a levelet a megfelelő emailcímre amiből automatikusan keletkezik bejegyzés a tsystemses (hiba)jegy kezelő rendszerben.

A főnök meg már fut is "személyesen megtenni a büntetőfeljelentést", mert ők így javítják a hibákat.
Igazából körvonalazódik itt két-három-négy-öt állításhalmaz (az "elkövetőé", a bkk-é, a t-systems-é, a sajtóé, a politikai oldalaké, meg akit még kihagytam), amik néhány mellékes pontban akár még fedik is egymást.
Ezek között kellene megtalálni az igazságot, a tényleges eseményekre való rálátás nélkül. Mert itt kb. mindenki másodkézből származó információk, meg a saját világnézete alapján ítélkezik, és megy neki az összes többinek.
Közben meg:
-pár napja még úgy volt, hogy nem szólt nekik
-pár napja úgy volt hogy a noreply emailre küldte a jelentést, amit nem néz senki
-pár napja úgy volt hogy egyszerre szólt a sajtónak meg a bkk-nak
-a bkk-vezér tegnapelőtt azt mondta hogy 45 perccel utánuk velük egyidőben szólt a sajtónak aztán még ugyanabban az interjúban két óra negyvenöt percet, meg négy órát is mondott, mellesleg rákente az egész szart a t-systemsre.
-meg úgy is volt, hogy amikor "riasztott a biztonsági rendszer" akkor T-József "személyesen tett feljelentést", amihez csak "át kellett adni a logokat a nyomozóhatóságnak" aztán már mennek is illedelmesen kopogtatni reggel hétkor, természetesen a logok alapján. Nemám azért, mert az újságban látták, ki az, hanem a logok alapján.
-egyébként meg azóta 5-600 kibertámadás éri őket. Remélem, minden esetben mentek kopogtatni a nyomozók, hiszen a sikeres felderítéshez csak a logokat kell átadni...
-meg azt is mondták, hogy az adatok biztonságban voltak link1 link2

Közben meg van egy olyan, hogy adatvédelmi törvény, meg -állítólag- folyik már az ügyben az adatvédelmi szabályokra vonatkozó vizsgálat is. Lehet tenni a tippeket, hogy mekkora ívben lesz elkenve.

Az állítások helyett a tényekkel célszerű kezdeni. A legelső tény, hogy az e-ticket rendszer egy trágyadomb volt amikor élesítették. Először azzal kellene foglalkozni, hogy a „gyártó” miért gondolta úgy, hogy egy használatra alkalmatlan „terméket” ad át*. Utána azzal, hogy a hibák kiderülése után a BKK milyen intézkedéseket tett a gyártó felé, annak érdekében, hogy a hibákat kijavítsa. Esetleg azzal is, hogy a BKK miért nem tett feljelentést a hibás teljesítés miatt, hiszen közpénzből készült a sz@r.

Ezek a problémák akkor is léteznének, ha senki nem vett volna 50 Ft-ért jegyet. Ha ezeken túl vagyunk már, akkor majd lehet foglalkozni a „hacker” tevékenységével, illetve az erre adott válaszlépésekkel.

*: Ennek két oka lehet: Hihették azt, hogy nincs egyetlen olyan leendő jegyvásárló, aki észreveszi a hibákat. Aki ilyet feltételez, az valamilyen álomvilágban él. Ennél valószínűbb, hogy azt hitték, ebből nem keletkezhet semmilyen káruk, hátrányuk. Az már biztos, hogy erkölcsi káruk keletkezett az ügyből. Anyagi és más következményekről még nem volt szó.

ha hittek volna bármit is, nem mennek bele ebbe az üzletbe. - egyik részről sem -

keletkezett egy politikai nyomás, itt a vizesvb, - ki vizezte be? - át kell adni, mert ez csak egyszer van, nem úgy mint a várkertbazár.

no ezt elvállalták.
nemkelletvó'na.

de ki tudta előre. megbuktak, most visznek magukkal mindenkit, akinek láthatóan köze volt a dologhoz.

azok akik elrendelték, kijárták, kizsarolták, most sem láthatóak, és nem is fogják vállalni a politikai felelősséget, sőt nagy örömmel fognak asszisztálni a felelősségrevonásban.
akit meg majd most felelősségre vonnak, nem fog árulkodni, mert... ki tudja miért?

Sok különböző dolgora kérdeztél rá:

  • a szállító azért adta át mert
    • szerződésben kb első helyen rögzített dolog volt a szállítás ideje. (index cikk)
    • a $ nagy részének kifizetését ehhez kötötték (gondolom)
  • "használatra alkalmatlan"
    • ~ mivel a nyilvános használat előtti nap (?) volt "a belső teszt" (index), gondolom közben ki se derült hogy mekkora foshalom az egész
    • kiváncsi vagyok rá, hogy a 3 hónap fejlesztési idő alatt a bkk mennyire nézte meg akármilyen szempontból a készülő cuccot, vagy szállításkor tákolták tovább
    • ha a managereknek a bónusza bármilyen formában összefuggesbe hozhato a hataridovel akkor a darabokban levő szarkupacot is megpróbálják áttolni ami soha nem futott és egyértelműen összeomlik a második látogatónál
    • ugyancsak érdekelne a timeline amit a bkk felállított, meg az arcok véleménye akik a követelményeket ill arra válaszul a rendszertervet összerakták^1 (megrendelő & szállító részéről is), bár valószínűleg NDA alatt vannak a részleteket illetően a hibák kiderülése után
  • "intézkedések"?
    • van rá biztos SLA hogy sürgősség & súlyosság alapján kategorizálva mennyi idő alatt adnak ki javítást/funkció módosítást
  • hibás teljesítés?
    • Van egy átadás-átvételi folyamat amit szabályoz a szerződésük. gondolom az abban levő összes pontot kipiálták majd boldogan jelentették hogy akkor harcra kész az egész végülis minden rublika zöld. Tehát a bürökráciamotor és az implementációt magasról leszaró (rosszabb esetben ahhoz semennyire nem értő) projektvezetők boldogan pacsiznak és fellélegeznek hogy a sikerre ítélt projektet átküzdötték az akadályon, mindenki jelentheti a főnökének hogy minden tökéletes. ott is kizöldítik az excelben a cellát és boldogság, újabb sikerdíj behúzva.
  • **c) halovány fingjuk sem volt arról hogy mit követtek el, szolgalelkűen implementálták amit eléjük toltak (a programozók), ezért vetettem fel (^1)

    anyagi, erkölcsi stb. kára annak kéne keletkezzen aki
  • a lehetetlen határidőre bevállalja a projektet
  • átveszi és kirakja élesbe (elvégre a bkk felé ő felelős érte hogy átvette miután megbizonyosodott róla hogy a követelményeket mind teljesíti)

Mivel a szerződést nem ismerjük így erről túl sokat nem érdemes vitatkozni. Legfeljebb amin el lehet gondolkodni: ha a teljesítés megfelelt a szerződésben foglaltaknak, akkor az(oka)t a személy(eke)t aki(k) a BKK részéről aláírta('k) a szerződést, egyből elküldjék 100 év gályarabságra, vagy előtte legyen bírósági tárgyalás is.

Semmi értelme 1 embert keresztrefeszíteni az egész projekt-szervezet mulasztásai miatt.

Én jobban örülnék neki ha sikerülne feltárni a különböző szinteken a hibákat és mindenhol megfogalmazni a reális ajánlásokat amiket betartva hasonló kolosszális szarhalom összerakása elkerülhető lenne.

A "felelősségrevonás" helyett a "felelősségvállalás"-nak kéne 'menőnek' lennie:
- igen a [választott konkrét issue]-t én b@sztam el, de már éjt-nappallá téve tekerek rajta hogy kijavítsam és x,y,z módon biztosítom hogy hasonló kreténség ne jusson ki az éles rendszerbe.
A bkk-s probléma csak csepp a tengerben, az lenne előremutató ha ebből adódóan lennének lépések amik hatására az egész folyamat "jobb" lesz.

Tudom naív ötlet ezt még felvetni is...

Ehelyett lesz megint néhány szerencsétlen akit megfenyítenek/kirúgnak de maga a szervezet,módszerek,működés,motivációk stb. marad ahogy volt majd legközelebb előző nap kiadják egy független cégnek tesztelésre, és majd rájuk lehet mutogatni..

És az erkölcsi káruknak sem kellett volna feltétlenül ekkorának lenni. Csakhát az a fránya magas ló.

> a hétvégén zárva tartó ügyfélszolgálat email címére a cuccot
vs. rendszer élesítés.
ráadásul, nem hiszem, hogy aki élesítette, ne tudta volna, milyen állapotban van...
--
blogom

a végén még a gyerek lesz a hibás - hogy szart csinált a T.

csak olvasom a beírásokat - ki így, ki úgy - DE nagyon nem értem - a körülményeket magyarázzátok hol félre, hol újra ..

A dolog lényegére a végén már senki nem kiváncsi.

A gyerek amatőrsége és a szoftver bénasága között nincs korreláció, egymástól függetlenül lehet igaz mind a kettő.

Magyarul mit csinált a ügyfélszolgálat?
Persze, a bkk egy olyan kis manufaktura, ahol normális, hogy hétvégén zárva tartó ügyfélszolgálat van, hiszen mi váratlan esemény is lehetne, nem?

Én is azt mondtam, hogy előbb a bkk-nak irt és csak utána rohant a sajtóhoz, nevetségesen kevés idő elteltével, ráadásul hétvégén, ráadásul rossz email cimen. A többi stimmel.

bkk@bkk-ra irt, ez a hivatalos email címük, hova kellett volna irnia?

A webmaster@bkk.hu nem jobb? Én oda szoktam mindenféle oldalak esetén. (nem állítom, hogy mindig szoktam kapni választ egyáltalán)

nem rossz email cimre, es ket nap nem nevetsegesen rovid egy "kosz bazmeg" visszairasara, a tobbi stimmel.

"és akkor írt a sajtónak, amikor nem kapott választ."

Haha, éppen most hebeg-habog, hogy de ő már 14-én 14:49-kor irt a jó cimre (bkk@bkk.hu) a bkk meg állitja, hogy egyszerre küldte az indexnek is levelet, 16:31-kor már kint volt a cikk az indexen. Tehát ha a bkk igazat mond, akkor 0 másodpercet várt válaszra mielőtt rohant a sajtóhoz (ocsmány húzás), ha pedig az indexesek 0 mp-et alatt irták meg a cikket akkor 2 órát(!) sem várt a válaszra.

+ Azt is hozza kell tenni, hogy o csak a bkk-t ertesitette. Amig eljut a T-hez, ido. A T-nel valakinek foglalkozi kell vele. Raadasul nyaron, Pentek delutan. Persze, nem lehet csak erre fogni, de azert ez igy nem fair.

szart csinálni és átadni a megrendelőnek és bekaszálni érte a pénzt - az fair , ja

A T szart csinalt, az egyértelmű.
Amit ez az ember csinalt, az mas tészta. Semmi időt nem hagyot, hogy lereagaljak. Egyből a nyilvanossaghoz fordult. Ez sem fair dolog.

Fairnek nem fair, de ez volt a legjobb mondja, hogy javitva legyen idoben a hiba es elszamoltassak azt aki ilyen szar munkat vegzett.

Azert kivancsi lennek a felelosok kik lettek cegen belul es mi lesz veluk :)

nincs olyan, hogy fair - az élet nem patika mérleg - egy tapasztalatlan 18.éves srác, aki talált valamit és úgyahogy gondolta megoldotta.
Én azt nem értem, hogy miért az ő dolgairól szól a poszt 80% és nem a tárgyban jelzett BKK e-ticket-ről..

"egy tapasztalatlan 18.éves srác, aki talált valamit és úgyahogy gondolta megoldotta. "

Btk

"Btk"

társadalmi veszélyesség, közérdekű bejelentés...

"nincs olyan, hogy fair - az élet nem patika mérleg - egy tapasztalatlan 18.éves srác"
Remelem leszel olyan helyzetben, hogy egy software-ben hiba lesz es a keszito nem tudja lereagalni, mert pont egy "tapasztalatlan 18.éves srác" talalta, aki szetkurtolte a vilagnak a hibat. Emiatt neked pl. penz vagy barmi mas hatranyod szarmazik. Remelem akkor is ugyan ezt mondod. Nem, nekem nincs semmi kozom ehhez.
Az, hogy 18 eves, teljesen mindegy. Csak, hat ha ezek utan egy igazi hacker kezd el kutakodni, mert egy "tapasztalatlan 18.éves srác" talalt hibat, akkor o is fog. Csak hat o mar nem fog olyan "etikus lenni". Lasd

Aki ilyen amator hibakat vet vezeto IT nemzetkozi cegkent az assa el magat es nezzen melyen magaba aztan vegyen fel olyan embereket akik ertenek ahhoz amit csinalnak.

Ezt szerintem senki nem kerdojelezi meg. Az Alexandra.hu is visszaadta a jelszavakat email-ben. Ott is evekig ez ment. Megse verte ki senki a patariat. Eleg sok ilyen van.

Az lehet, de az nem egy 2017-ben bevezetett új rendszer volt (remélem). Itt a jelszó visszaküldése plain textben is csak a kezdő lökést adta meg a "tesztelésekhez" :) Ha az nincs, lehet senkinek nem jut eszébe 50Ft-ért bérletet venni vagy megpróbálni adminként belépni, vagy ha igen, nem az első napokban.

Hat igen lattuk mire vezet az napjainkban ha valaki veri a mellet, hogy a rendszere biztonsagos mert ugye az elmult 14 evben nem tortent semmi...

Az nem az az Alexandra, amelyik épp "döglődik" ?

a) ..mert sok a kokler: szomoru
b) ..honnan tudod hogy senki sem jelezte nekik. Csak mindenki leszarta
c) ..persze ennek van politikai felhangja is, plusz mivel kozpenzbol keszult igy *jobban faj* mindenkinek, foleg az adocsaloknak :)

b)-hez mondok egy regi (2009 koruli) sztorit, @leho figyelj:

Ceges menzat vivo ceg kajarendeloje annyira el volt baszva, hogy a prepaid egyenleged NOVELNI tudtad a rendelesek random hozzaadasaval-lemondasaval. Nyilvan volt minta benne. Jelezve lett a problema, ropke 2 het(?) alatt meg is oldottak, majd ra ket het mulva VISSZAKERULT A HIBAS KOD. Hogy is mondjam, utana sokan ingyen ebedeltek evekig, amig le nem csereltek a ceget (es ezzel a rendelo weboldalt). ES NEM TUNT FEL A CEGNEK SOHA. (Igen, igy nagybetuvel.)

Ne nevezzük már etikus hekkernek azt, aki nem az. Ez klasszikus szürkekalapos húzás volt.

Gray hats The hardest group to categorize, these hackers are neither good
nor bad. Generally speaking, there are two subsets of gray hats—those that are
simply curious about hacking tools and techniques, and those that feel like it’s
their duty, with or without customer permission, to demonstrate security flaws
in systems. In either case, hacking without a customer’s explicit permission
and direction is a crime.

CEH All-in-one exam guide, page 6

Szépen teleszartad a topic-ot ezzel a bullshit-tel. Senkit nem érdekel hogy gray vagy white, a lényeg az, hogy nem károkozási céllal, nem nyereség elérése céljából csinálta amit csinált, ÉS utána értesítette az "áldozatot" arról, hogy akkora lyuk van a rendszerén hogy az űrből is látszik.

A TechCrunch szépen leírta: "Hungarian hacker arrested for pressing F12"

Akkor most a ballibmédia jelen állítása szerint mégse értesítette az indexet 0-2 órával a BKK után?

Mert ezt mintha (véletlen!) kihagytad volna a timelineodból ;(

Továbbá igen, már elmondtad az álláspontodat: lehessen mindent előzetes egyeztetés nélkül hekkelgetni, fuck jogbiztonság & shieet o/

Lazán kapcsolódik: bökjed csak ide a saját és munkáltatód IP-it, kthx

"Akkor most a ballibmédia jelen állítása szerint mégse értesítette az indexet 0-2 órával a BKK után?"

A - jelenleg - bákákászopkodó és tészisztemsz-mentegető lakájmédia csicskasajtó álláspontja szerint minden fasza, nincs itt semmi látnivaló, jó áron vettek fasza rendszert, csak azpk a csúnya hekkerek.
Értem hogy hogy te ezt jóízűen elfogyasztottad, ugyanakkor egy személyes adatokat kezelő, közpénzből megvett, és amúgy borzalmasan túlárazott rendszer minősége igenis közérdek.

"Mert ezt mintha (véletlen!) kihagytad volna a timelineodból ;("

Lényegtelen a téma szempontjából, ezért nem szerepel a timeline-on. Nem titkok kiszivárogtatásával vádolják, hanem "hekkeléssel".

"Továbbá igen, már elmondtad az álláspontodat: lehessen mindent előzetes egyeztetés nélkül hekkelgetni, fuck jogbiztonság & shieet o/"

Továbbá: hazudsz, ahogy szoktál.

"Lazán kapcsolódik: bökjed csak ide a saját és munkáltatód IP-it, kthx"

Nem kérted elég szépen.

>Lényegtelen

Hmm de ismerős ez. De honnan is? Ja megvan.

szánalmas vagy, gabu.

Persze, lehessen hekkelgetni, mindenkinek az igazságérzete szerint, de mindent ám, ajtózárat, autókat, táskákat a villamoson, atomerőművet, bármit.

inkább az 'etikus hackerek' mint az orosz kormány.

Ez innentől egy eugenika thread.

gondolod?
az orosz kormány eugenetikával (is) foglakozik, nem csak amrikai választások, magyar minisztériumok és német nagyvállalatok krekkelésével?
meg hatalmas méretű dezinformációval?

^képünk nem illusztráció.

Ja csak ők, a másik oldal csupa szent ember.

A CNN amerikai hírtelevíziótól három munkatársától vált meg, mivel azok hamis orosz vonatkozású történetet közöltek.

Vagy

http://polusonline.blogspot.com/2016/08/elkepeszto-hirhamisitason-kaptak-vilag.html

Igen, ez a különbség. Arrafelé a hazugságba belebuknak, errefelé felfelé buknak a hírhamisítók.

viszont azokat kirúgják, ha észreveszik,
ezeket meg az orosz kormány megdicséri.

nem mind1

valamint amióta a magyar állam központilag nyilvántartja a szig-eket, és ellenőrizni is tudja helyben és azonnal, megemelkedett az értéke a szig. sz., név, lakhely... adatbázisoknak.

+ az 'etikus hacker' meg magyar volt, - legalábbis magyar állampolgár :) - nem pediglen yenki.
hacsak nem egy ilyen adatbázisból csinált magának személyit, lakcímkártyát, bankkártyát meg ilyesmit:)))) de az a gyanúm, akkor nem szívózott volna a bkk-val

> A TechCrunch szépen leírta: "Hungarian hacker arrested for pressing F12"

Elsütőbillentyű.

(x)

Jogos.

(épületes marhaságnak tartom, és úgy gondolom hogy jobb 1x válaszolni és belinkelni, mint sokszor válaszolni. Majd legközelebb lesz (x) is.)

def megoldotta

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Pont leszarni való h fair v. sem! Ez a legkevesebb. Mindenféle értesítés nélkül is totálisan igaza lenne. Akik súlyos milliókért ezzel az izé..vel álltak elő, azok nem érdemelnek fair eljárást. Élő adásban kellett volna bemutatni, hogy mennyire primitív az egész...még itt értesítgetni őket, meg kivárni míg reagálnak...anyjuk faszát.

Sőt csinálni kellett volna valami scriptet, amivel az is meg tudja törni, aki azt se tudja mi az a weboldal és még nagyobb kárt okozni. Az lett volna a legjobb.

Semmilyen törésről nincsen szó! Csak Neked meg a főnöködnek vannak ilyen tévképzetei. Ha a nyitott ajtón betéved valaki az nem betörés. Ilyen primitív rendszert nem lehet megtörni, mivel semmi nem állt ellen. A rendszerének a megtöréséről olyan valaki beszélhet elsősorban, aki mindent megtett annak a rendszernek a védelmében, de minimálisan a legelemibb dolgokban nem vétett olyan orbitálisat, mint akik ezt E-ticketet legyártották.

Az ajtó csukva volt, legfeljebb a zár volt rettenetes primitiv. Attól az még betörés.
De mondok neked még meglepőbbet: az atm nyilásán ottfelejtett pénz zsebre rakása is lopás és elvisznek érte a rendőrök, pedig annál könnyebb pénzszerzés nemigen van. Nemhogy ajtó, de semmi sem védi azt a pénzt, mégsem teheted el.

Nincs a btk-ban olyan kitétel, hogy "mindent" meg kell tenni a rendszer védelmében.

Milyen főnököm? Jól vagy? :)

Különben valóban kriminális ez a hozzáállás itt a hupon, hogy "ami nincs leszögezve az lopható, és dikkmán bíróúr ez nem is lopás, hát csapjon belém a devla"

Valóban döbbenetes, hogy mennyire nincsenek tisztában alapvető törvényekkel sem.
(azzal már nem is akartam sokkolni, hogy ha a szomszéd reggel munkába menet konkrétan tárva-nyitva felejti az ajtaját és ezt látod, akkor sem mehetsz be)

De vigyázz miket irsz, nehogy neked is hirtelen főnököd, meg gazdád legyen :)

A legmókásabb eleme eme jelenségnek, hogy ezek a szerencsétlenek ("hasznos idióták" néven találhatóak meg a szakirodalomban) feltettek egy ubuntut, elolvastak két hamis 24/index cikket, de szívük szerint már személyesen újraírnák a Btk. IT-re vonatkozó részeit, legalábbis.

muh poor 18yo babbies ;((((

Ráadásul az etikus hekkerség az nem valami jolóság, hanem egy szakma, és a szakma művelőjének ismernie kell a jogi hátteret. Azért megnézném a magát etikusnak gondoló hekker fejét , amikor a srác okosházában meghekkelné valaki a tűzhelyét, és úgy demonstratíve melegítene egy kicsit. Vagy az autó zárjának ugrókódját pentesztelné valaki.

Mindenki hüjjje, csak te vagy helikopter, igaz?
De legalább jól elbeszélgetsz magaddal. Az is valami! Kuporgasd össze a sékeleidet, aztán aliázzál oda ahol sok van belőled!

.

Sajnálattal olvasom az ATM-es tapasztalatod, de h elvittek a rendőrök még nem jelenti azt, h szakértőként hivatkozhatsz a BTK-ra. Meglepetésről meg akkor lehetne szó, ha a bugrissági faktor 0.9 alá menne. De ettől nem kell tartani.

úgy emlékszem gondosság/gondatlanság-ként hivatkoznak ilyesmire, tehát hogy legalább törekedj az elvárható minimumot hozni pl

Mondjuk, engem érdekelne, hogy tényleg "zár"-nak számít-e az url...
Jegyrendelés közben a macska ráugrik a billentyűzetre, a kurzor pont az url-en van, szám átíródik... a kérdés, ki a hibás, én, a macska, vagy a bkk? És elvárható-e, hogy tudatlanul még a rendelés előtt agyoncsapjam a macskát, hogy nehogy véletlenül feltörődjön a zár? (és elvigyenek)

Az ATM, ha nem veszed el a zsét, simán visszahúzza a belibe a bankókat... :-P

Normál esetben igen. Máskor meg nem, jópár embert bevittek (akarom mondani éjszaka a tsystems rárugta az ajtót) már magyarországon emiatt, olvass utána.

Tévedsz, súlyosan!

"hacking without a customer’s explicit permission
and direction is a crime."

Certified Ethical Hacker All-in-one Exam Guide

Hát hogyne....Én beszéltem hackingről? (Azok igen akiknek érdekük hackinget kiáltani, h leplezzék a saját hibáikat.)
Egyébként meg pont leszarom, h egy hekkergájd h próbál magának jogot formálni arra, h megmondja a világnak, h mi etikus meg mi nem.

Hiszen itt vagy nekünk te, aki megmondja mi etikus. (Egyébként érted az idézett könyv cimének minden szavát? Pont egy fórumvitéz btk elmélkedései)

Csak h én ezt autentikusan megtehetem és nem mint hivatkozott tekintélyt kell elfogadnod.

Nem a guide mondja meg - bár a CEH Exam Guide nem amatőr hülyegyerekek munkája - hanem a törvényi háttér. Írásbeli szerződés nélkül NEM VAGY etikus hekker. Ez grey hat, ami büntetHETŐ, a megtámadotton múlik, hogy kezeli.

Ha valaki elmenne a lakásodhoz "etikus" hekkelni a zárat, vagy akár csak az otthoni wifit, rögtön más lenne a leányzó fekvése.

"Nem a guide mondja meg "

..ja kérem, akkor nem arra kell hivatkozni!

Tehát várom akkor annak prezentálását, hogy az etikus viselkedés miért nem etikus...
Azaz viselkedhet-e a hekker etikusan, ha nem etikus-hekker? :-DD

ovoda

na azért szép is lenne hogy ha kizárólag azon múlna egy-egy tett megítélése hogy lett-e belőle botrány.
pl normális ember számára a gyilkosság no-go kategóriás cselekmény és nem változtat a helyzeten hogy véres kézzel rajtakapják az illetőt vagy csak évek múlva derül ki.
A tettet kell megítélni nem pedig a körülményeket amik övezik. a shitstormnak ami elszabadult nem kéne kihatása legyen a tett megítélésére!

Szerinted milyen felelősségvállalásra lehet számítani egy olyan világban ahol mindenki a botrányfaktortól függően cselekszik csak? Ha kellemetlen. Pont elég hogy félelemtől vezérelve meg a saját seggének/székének védelmében cselekszenek szerencsétlen emberek. nem ezt kéne szorgalmazni&bátorítani.. Pláne hogy általában ez kaotikus önpusztító rendszerek kialakulásához vezet, legyen szó államigazgatásról vagy céges világról stb.

Mennyivel jobban megy azokon a helyeken ahol kordában&minimális létszámon tudják tartani az efféle gondolkodásmódú embereket..

Rosszul látod. Ha pl az általam felügyelt rendszerek bármelyikében valaki hibát találna és privátban engem értesitene, akkor valószinűleg megköszönném, vagy akár meg is jutalmaznám. Ellenben ha az értesitésem után pár órával szaladna a sajtóhoz és pontosan kiadná, hogyan lehet feltörni a rendszeremet, akkor biztos lehetsz benne, hogy pénzt nem sajnálva mindent megtennék, hogy leültessék, vagy irdatlanul megfingassák.

Úgyhogy igen, nagyon is számit, hogy méltányosan jár-e el, vagy csak 5 perc hirnevet keres magának.

Nem tort fel semmit es nem is adott ki olyan infot amivel fel lehet torni gepeket.

Ezen kivul, ha olyan programot irsz ami egy foshalom, akkor szerintem kuss a neved es minel elobb javitod vagy ha nem megy, akkor keresel egy masik szakmat. Nem pedig feljelentgetsz.

Majd te megmondod, hogy mit csinálhatok a rendszereimmel és kit jelenthetek fel, amikor törvényt sért. Nem tévedtél el egy picit? :)

Más értetlennek is javasoltam már: törögess internetes rendszereket kéretlenül, jelentgesd a felfedezéseidet a sajtóban. Csak jól végződhet a történet, sok sikert hozzá, hajrá! :)

azért van az hogy mára valahogy mind a bkk, mind a t visszavett az arcából, mert a bkk az ugye egy állami vállalat, és akikkel most ujjat húzott, az a nép.

a t-nél pedig pluszban ott van a piac. ami egyből 0-ra irta a népszerűségét a facen. kezdetnek :)
ami kihat majd a megrendeléseire, ami pedig a tulajdonosokra..

már most látható, hogy a deutsche telekom is megsínyli.
vagyis hátrább az agyarakkal:)

Miért én szerinted állami vállalat vagyok, vagy mi közöm van nekem ezekhez a marhaságokhoz amikor ideraktál?

A t azért vett vissza az arcából, mert iszonyat béna rendszert adott ki a kezei közül, igy nem nagyon ugrálhat és nem azért, mert legális volna felnyomni bármilyen rendszert. Ha mondjuk egy bonyolultabb XSS-el törik meg, ami már nem triviális, akkor biztos lehetsz benne, hogy ők se sajnálnák a pénzt, hogy rendesen megszivassák a gyereket.

'Majd te megmondod, hogy mit csinálhatok a rendszereimmel és kit jelenthetek fel, amikor törvényt sért.'

mert ahogy mindenkit, egyszer, - v. többször is - utolérhet valami amitől neked is vissza kell venned az arcodból, és más javaslatára kell(ene) halhatnod :))
ez a közöd hozzá.

Ne ijesztgess! Miért mi lesz, ha feljelentek valakit, aki feltöri a rendszeremet? Megütöm a bokámat? Ez egyre jobb lesz :)

én?

nem ijesztgetlek, csak felhívtam a figyelmedet a körülötted zajló eseményekre.

Ja, értem, már majdnem azt hittem nem szabad feljelenteni azt aki feltöri a rendszeremet és azonnal szétkürtöli a sajtóban, hogy hogyan kell. Igy azért már nyugodtabb vagyok :)

Szabad, csak még előtte töröld az FB accodat, ha kedves a céged IRL arculata.
Tanulj a más kárából!

"törögess internetes rendszereket kéretlenül"
Feltores meg mindig nem volt. Gondolom nem vagy informatikus ha ennyire kevered a dolgokat. Ami nem is problema. :)

"Majd te megmondod, hogy mit csinálhatok a rendszereimmel és kit jelenthetek fel, amikor törvényt sért. Nem tévedtél el egy picit? :)"
Javaslat volt inkabb, mert rosszul allsz a dolgokhoz. Tehat azert, mert esetleg egy balfasz vagy nem feljelenteni kell, hanem valtozni.

> Gondolom nem vagy informatikus ha ennyire kevered a dolgokat.

Ingyen pénzt/terméket kivenni egy rendszerből nem számít feltörésnek. A root jogokkal futtatott mc számít annak. Nem vagyok informatikus.

open btk.txt
CMD+F root joggal futtatott mc

0 hit

Kevin Mitnick is CSAK AZÉRT kapott 5 év börtönt kegyelemből, mert
nem pénzért csinálta.
A bíró szerint, ha anyagi haszonszerzés vezérelte volna a Boeing,
Nokia, Fujitsu, Motorola, Sun Microsystems stb. gyártók oldalainak feltörésénél, akkor már csak 150 év és szabadulna.Tudod yenkiknél összeadják az elkövetéskor használt módszereket,
aztán beszorozzák vagy 8-al.
Azért jönnek ki ilyen 120 éves ítéletek, ami magyar szemmel elképzelhetetlen.
Amiért nálunk max 5 évet adnak fiataloknak.

Sebezhetőségt használt ki. Legalább egy szakmai fórumon ne terjessüzk már azt, hogy ez nem törvénysértő. Bármelyik pentester képzés legelső előadása jogi alapismeretekkel kezdődik. Az nem etikus hekker, aki írásbeli engedély nélkül dolgozik.

+1

A nagy cégek bug bounty programjainak résztvevői is törvényt sértenek?

Ott van engedelyed.

Ott vannak szabalyok.

https://bounty.github.com/#rules

(Don’t publicly disclose a bug before it has been fixed.)

Most azon kívül h ezt fennen hangoztatod itt, van valami alapja annak, h miért kéne a pénzelt etikus hekkerek önérdekű madárnyelvét definitíve elfogadnunk? Bizonyára rontja a boltot a pénzelt etikus hekkerek számára, h az etika nem írásbeli engedély függvénye.
Itt a "sebezhetőség" fogalma teljes mértékben tisztázatlan. Ennek kihasználására való hivatkozás egy olyan blődség, amit kb az etikus-hekker orrfolyamot kitalpalóknak rághatnak a szájába.

^remek aranyköpés-gyűjtemény

Szerinted sem lehet etikus a hekker, ha nem etikus-hekker?

legyszi ne csak a magyaridokbol meg origobol tajekozodj. csillioszor le lett irva hogy egy hetvege eltelt a ketto kozott.

Egy egész hétvégét? Ejha. Én úgy hallottam, hogy orbánisztántól nyugatra 90 napot szoktak várni a bejelentés a nyilvánosságra hozatal között.

és?

legyszi ne csak a magyaridokbol meg origobol tajekozodj. csillioszor le lett irva hogy orbanisztántól nyugatra a srácnak munkát ajanlottak volna fel, es nem pedig feljelentik

Hogyne. Majd azért olvassál egy picit bele pl a bounty programok feltételeire és gyűjtsél be jó sok bounty-t, miközben egyszerre értesited a céget és a sajtót a problémáról :)

Szép nagy öngól, origó és magyaridők, mi? :)

https://hup.hu/node/154459?comments_per_page=9999#comment-2123884

Ebben az a legszomorúbb, hogy keleteurópai programozók készítik több hires vagy hírhedt cég szoftwereit és az állam nem képes felhajtani két-három embert, aki egy normális munkát elvégezzen.
Erre a válasz is egyszerű, nem fizetik meg az embert. Az elköltött pénz olyanok zsebében landol mint Mészáros vagy Vajna (semmi személyes, a két név csak példa) és nem azokéban akik a munkát elvégzik.
Ez a BKK semmiség a román egészségi kártyához képest, ami már 4-5 éve, mióta beindult, hetente omlik össze és senki nem tudja/akarja rendbetenni.

Isten hozott a Balkánra, a bolygó egyik legkorruptabb térségébe.

Magyar EÜ rendszerekben is vannak csodák, és még lesznek is, sőt...

hát mert nem a pénzen múlik a dolog, én például akkor se dolgoznék ezeknek a geciknek, ha a mostani fizetésem dupláját adnák meg, pedig most sem panaszkodom.

Egy férfi odamegy egy nőhöz
- Mondja hölgyem, lefeküdne velem 1 millió dollárért?
- 1 millió dollárért?! Igen, persze!
- És húsz dollárért?
- Minek néz maga engem????
- Azt már megbeszéltük, hogy maga micsoda, most már csak az áron vitatkozunk...

:-D

...nem képes felhajtani két-három embert...Erre a válasz is egyszerű, nem fizetik meg az embert...
Egyik feltételezésed sem felel meg a valóságnak. Igenis megtalálják azt a 2-3 embert. Nagyon keresniük sem kell, hiszen ott vannak a közvetlen közelükben. Családon belül, ha a családban nincs elég ember, akkor ott a szomszéd, ráadásul neki is vannak családtagjai. És a probléma máris megoldást nyert. Ráadásul meg is fizetik őket. Sőt, túl is. Milliók, estenként milliárdok tűnnek el fizetődnek ki. Erre mindent lehet mondani, csak azt nem, hogy nem fizetik meg az embert rendesen. Még akkor is marad egy szemmel jól látható összeg, ha 30~60%-át vissza kell osztani.

Ezek után komplett kamikaze, aki a kliens alkalmazást felrakja a telefonjára, és várhatóak kisebb robbanások is leolvasáskor.

Botrányos kivitelezés, ráadásul semmi értelme az egésznek. Bérlet helyett telefont vehetek elő a személyi mellé. Ennek minimális értelme pont, hogy jegyeknél lenne, nem bérletnél, hirtelen eszembe jut, hogy nincs jegy/lejárt a bérlet, megveszem egy útra, és kész, még azonosítással sem kellene szórakozni.

Amúgy azt hiszem, illetve nagyon remélem, hogy ez az eticket nem az az eticket, amivel 15 éve szenvednek lassan, és tényleg milliárdokat költenek rá. Az elméletileg olyan valami lesz, mint az Oyster, és mindig jövőre kezdik telepíteni. Szerintem odafent rájött valaki 1-2 hónapja, hogy ugyan a "bűnös város" szisztematikus szivatására jó volt a tökölés, de a nagyvezír prezentálni akar a külföld felé, rohadt gyorsan össze kell dobni valami eticket szerűt, mert kiröhögnek, hogy 2017-ben papírfecnivel szaladgálunk. Most majd röhögnek máson.

Az megvan, hogy egy rakás bérletes az okostelefon átlátszó tokja alá rakja be a bérletét, és mutatja fel? Na, most ezt sikerült neten vásárolhatóvá tenni, ami előrelépés lenne, de a megoldás gyakorlatilag veszélyes a BKK-ra.

Az Oyster-hez hasonló pedig ez lenne, legutóbbi tervek tudtommal:

http://rigo.bkk.hu/

Egyébként ilyen rendszerek nincsenek már NFC-s telefonokra, vagy valami hasonló? Megint egy kártyát vinni, tudom, vannak olyan tokok, amibe becsúsztatható hátulra 2-3 kártya, de én purista vagyok ebben.

(Politikai szálra: el ne hidd már, hogy ez tényleg Budapestről szól, ez csak mégegy lehetőség a pénzlopásra, elnézést, megmentésre.)

Igen, sokan csinálják, mert ott nem baszogatnak azzal, hogy hol a személyi. Lásd indexes cikk, hogy telefonnál meg igen, mert ezt könnyebb hamisítani/megosztani. Aztán lehet, hogy majd itt is leszoknak róla.

NFC-s helyett én sokkal jobban örülnék olyan megoldásnak, mint Londonban: beregisztrálom a paypasses bankkártyát, és viszontlátásra. Innentől telefonnal is megy, ha van olyan bankkártyád.

Ó, a jó emlékű SIRALOM :)

Bármire ráillik, ami grandiózus állami projekt... :D

Nem kell regisztralni a kartyadat hanem csak hasznalni, fizeteskent fogja lekonyvelni, akkor kell csak regisztralni ha latni akarod merre jartal, ez ceges kartyanal erdekes csak ugye, maganszemelynek felesleges, en is csak siman a telommal fizetek aztan kesz

Amugy az is lehet h akkora hatalmas osszeget kapott erte a fejleszto mint a vizes vb kabalafigurajanak a tervezoversenyen a gyoztes (550khuf + afa) amiert egy joerzesu fejleszto/dizajner le se ul hogy nekialljon, de egy szomszed verpistike mar megorul es tolja ki magabol a hulyesegeket

http://index.hu/tech/2017/07/15/barki_feltorheti_a_bkk_elektromos_jegyvasarlo_rendszeret/

a cikk szerint nem ellenőrzik a felhasználó jogosultságát és hozzáférhető bárkinek a személyes adata, okmányának száma, jelszava

A Btk.-ban olyan nincs vételenül, hogy Gondatlanságból, foglalkozás körében elkövetett személyes adat hűtlen kezelése?
nem ártana...

Biztos, hogy van, de az "elvárható gondosság" nem egy szilárd dolog, bíróságon szerintem ügyvéd és bíró függő, hogy kit akasztanak.

Szerencsére már nem sokáig.

Az idevago EU szabalyozas. Nagyon sok nagy cegnel be vannak tojva emiatt.
http://ec.europa.eu/justice/data-protection/
https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

Mennyi a BKK eves bevetelenek 4%-a? A kasszat arra talaljak...

nem a BTK, van egy EU-s törvény: "GDPR"

"Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról"

- amely itthon 2018.05.25. napján lép életbe és abban pontosan le van írva a felelősség és
a incidens esetén a büntetés is pl: közigazgatási bírság, amely a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának 4 %-át teheti ki.

Ez alapján - ha majd hatályos lesz - egy ilyen "baki" simán vizsgálat, bírság - kártérítésig lehet vinni...

Majd meggondolják, hogy milyen "haveri" cégnek adnak ki olyan munkát, ahol szamélyes adatkezelés van..

„Majd meggondolják, hogy milyen "haveri" cégnek adnak ki olyan munkát, ahol szamélyes adatkezelés van..”

Most: Havercég „megcsinálja” jó pénzért a munkát a BKK, azaz az előfizetők pénzéből. Sikerül, ahogy sikerül. Ha javítani kell a szoftvert, akkor azért újabb pénzt lehet felvenni. Havercég jól jár, adófizetők fizetnek.

Jövőre: Havercég „megcsinálja” jó pénzért a munkát a BKK, azaz az előfizetők pénzéből. Sikerül, ahogy sikerül. Ha javítani kell a szoftvert, akkor azért újabb pénzt lehet felvenni. Havercég jól jár, adófizetők fizetnek. Ha valaki bepereli a BKK-t, a fenti törvényre hivatkozva, akkor a BKK-ra kiróják a büntetést, amit a befizet az adófizetők pénzéből. A javítást pedig megrendeli a havercégtől. Havercég még jobban jár.

Mit kell ezen meggondolni? Nincs olyan, hogy a BKK pénze, csak olyan van, hogy az adófizetők pénzéből (költségvetési pénzek, jegybevételek) a BKK-nak juttatott pénz. Ha a BKK veszteséges lesz, akkor a veszteséget is az adófizetők pénzéből kell finanszírozni.

Az idézett törvény a nem állami tulajdonú vállalatok számára jelent csak veszélyt. De csak akkor ha nem havercégek.

nem állítottam, hogy csak állami tulajdonú cégre vonatkozik, SŐT...
és az se egyszerű munkamenent, amit leírtál, mert egy projektre egyszer van pénz - nem lehet kisírni pót költégvetést..

A törvény mindenkire vonatkozik, aki személyes adatot kezel: google inc.-től a XY Vízmű kft.-ig vagy a könyvelőkig.
pld. nem tudom, hogy fog megfelelni, az a könyvelő prg, ami pl. DBF-ben tárolja titkosítás nélkül az adatokat ???

> egy projektre egyszer van pénz - nem lehet kisírni pót költégvetést..

Te ebben biztos vagy? Én bizony nem ezt látom.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Eleg megnezni az allashirdeteses topicban(niif/kifu) "magyarorszag legnagyobb openstack clustere" promot. 1x megkaptak palyazati penzt, elkoltottek. Nagyjabol fut valami. De 500-as erroron kivul mast nem latsz belole. Most, hogy vizsgalat van majd lehet valaki kezd vele valamit, de miota megepult hasznalhatatlan. Tehat eddig nem tortek magukat. Hozza sem nyultak projecthatarido utan :)

És ez ellentmond annak, hogy szerintem lehet ugyanarra a projektre többször is pénzt kapni? Abból, hogy kap még 1x, 2x, 10x pénzt, nem következik, hogy dolgozni is fog a 2., 3., 10. pénz után. (Nyilván valaki fog, hisz le lesz papírozva - márpedig a papírt is gyártja valaki - de az nem kifejezetten tekinthető értéktermelő munkának.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Igen, ez is a gyakorlat része.

Azert erre nem vennek merget. Ha jol tudom mi is hasznaljuk a felhojuket az elso tesztek ota es eleg aktivak voltak a hibabejelentesekre. Legalabbis kollegatol ezt hallottam, nem az en projektem.

En ugy tudom eredetileg arra is keszult, hogy diakoknak legyen vm, ha akarnak. Van 2 accountom, amivel allitolag be lehetne lepni. De csak hibakodok variaciot latom.
Persze ezen kivul lehet van mukodo resze. Csak ugy tudom ezt is beigertek.

"egy projektre egyszer van pénz": ja, mint a vizes vb-n

Egy offline szoftver es egy online szolgaltatas tamadhatosaga es ugymond vonzosaga egeszen mas. Titkositas megvalosithato, legalabbis reszben, filerendszer szinten, ami legalabb az adathordozo elvesztese ellen ved. Masreszt egy konyvelonel jellemzoen nyilvanosan amugy is hozzaferheto adatok szerepelnek es ugy egeszben uzleti titkot kepeztek. Kivetel lehet a maganszemelyek adatai, bar akkor is a szolgaltatas nyujtasahoz elengedhetetlenul kello adatok.

" Nincs olyan, hogy a BKK pénze, csak olyan van, hogy az adófizetők pénzéből (költségvetési pénzek, jegybevételek) a BKK-nak juttatott pénz. Ha a BKK veszteséges lesz, akkor a veszteséget is az adófizetők pénzéből kell finanszírozni."

Konkrétan érdekes lenne, ha a vezetők, döntéshozók fizetése nőne/csökkenne arányosan attól függően, hogy jól megy a cégnek, vagy sem. Bár csak létezne valami szervezet ami ezt betartatja velük.

+1

Fletó megbízott egy buzit azzal, hogy dolgozza ki ezt a rendszert. A buzi el lett hajtatva azért mert buzi, Fletó azért, mert Fletó - a korrupcióellenesség jegyében, kéthetes rendbetétel ígérete mentén.
De lehet, hogy nem is így volt, csak nagyot álmodtam.

ez a "buzi" ki is volt?

és a buzisága miatt volt szar, vagy amúgy is direkt szarnak csinálta?

Arra tippelek, hogy a szándék az volt, hogy központilag válasszák ki a lojális pártkatonákat az üres pozíciókra.

https://www.hrportal.hu/c/felszamoljak-a-szetey-rendszert-20081027.html

akkor nem értem @lx-et, miért volt fontos hangsúlyozni, hogy buzi.

Mert azzal (IS) basztatták.
Semmi okom nem volt utólag finomítani az érvrendszert a parafrázisban.

Igen ez is a pakettben volt, de a fenti felvetés (eredményalapú premizálás) kapcsán nem erre céloztam, hanem erre:

A kormányzati teljesítmény értékelő rendszer lényege, hogy szoros kapcsolatot teremt az értékeltek által végzett munka minősége és mennyisége, illetve a kifizetett jutalmak között, és megteremti a kötelező visszacsatolást főnök és beosztott között. A rendszerben a vezető és a beosztott közösen határoz meg célokat, és közösen értékeli, hogy azok valóban megvalósultak-e. "Vezető és vezetett között tehát nemcsak lehetőség van a folyamatos visszacsatolásra, hanem kötelezővé is válik, hogy a főnök szemtől szemben véleményt formáljon kinek-kinek a munkájáról" - mondta Szetey Gábor.

https://www.hrportal.hu/hr/januartol-indul-a-kormanyzati-teljesitmeny-ertekeles-20061129.html

Magától értetődik, hogy a csinovnyikok nagytestvért kiáltottak, ez szervezetelméletileg így természetes.
Az érdekesebb (de az is természetes), hogy a korabeli konstruktív ellenzék ezt IS támadta - a nagytestvérezés és buzizás között alterálva.
A méltán lejtőn álló Fletó meg nem mert beleállni, mert úgy hiányzott neki a végrehajtásban a passzív vagy akár aktív rezisztencia lehetősége, mint ablakos tótnak a hanyattesés.

Ma meg ilyesfélét gondolni is minimum sorosbérencség volna.

De nem mondom, hogy ebben nincs semmi pozitív: pl. ha Mikszáth feltámadna, nem érné kulturális sokk.

Úgy tudom, hogy ez a teljesítmény-értékelő rendszer valamilyen formában továbbél most is a közigazgatásban.

Ami érdekes számomra, hogy a köz- és államigazgatási szervezetek között nagyon nagyon különbség van az elvégzett munka minőségében, olyan, mintha nem lenne egységes minőségbiztosítás mögötte.
Valahol azt látom, hogy szervezett, jó és folyamatosan fejlődő infrastruktúrával (NAV, okmányirodák), valahol még mindig a Kádár rendszer köszönt vissza (egészségügy, földhivatalok).

"Úgy tudom, hogy ez a teljesítmény-értékelő rendszer valamilyen formában továbbél most is a közigazgatásban."

Lenn a végeken.
El tudod képzelni, hogy a számonkérendő pénz felével elszámolni képtelen, de legalább az operatív munkát (IS) akadályozó KLIK-ben a fejméreten kívül bárkit bármire mértek?

Teljesítményértékelésre van külön rendszer (emlékeim szerint egy .net-es remekmű) közmunkások kezelik mert az osztályvezető nem ért hozzá vagy nem akar. Más kérdés, hogy mondjuk IT-nél ha eltérítenek se keresed meg amit normális helyen adnának. De eltéríteni meg amúgy se fognak mert nincs rá pénz (ahogy ITra sincs)

+1

(nem mintha újat mondana az ittenieknek, de a fenti károk listájához:)

... tehát annak, aki regisztrált, és olyan jelszót használt, amit máshol is használ, annak most sokmindene nyitva van gyakorlatilag bárki előtt. Csodás. Tényleg reménykedek még, hogy az app is okozott valami jó kis adatvesztést a telefonokon vagy hasonló, és akkor ezzel sikerült is überelni az úszó EB állványzatát, amit ugrótoronynak mertek nevezni.

Nemzetközi sajtóban megjelentünk már?

elektromos

elektromos

--
L

gőzhajtással többre mennének? :)

BKK humble bundle

Második jó hozzászólás :DD
--
"Sose a gép a hülye."

Párom azt mondta becsületkassza, ami igazán "demokratikus".

Én őszintén nem értem miért így próbálták megoldani, miért nem egy NFC-s megoldással próbáltak előrukkolni. A megoldás kísérőjel lehetne ugyanazon az elven működő nfc-s kártya azoknak, akiknek nincs telefonjuk, és hurrá, le lehetne váltani a klasszikus jegyrendszert (ami fasza dolog lesz, most, hogy nemrég állították üzembe a megannyi új jegyautomatát. Nem kellett volna összehangolni ezeket?

Persze tipikus, hogy ilyen választ adnak, miszerint: "A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni."

Próbálják befolyásolni. Nyilván a próbálkozások miatt szar a rendszer :)

erdekes, liszabonban mukodik, NFC-s feltoltheto "jegyet" kapsz barmleyik jegyautomatabol....
ha van jegyed es csak fel kell tolteni, olcsobb a jegy 50 centtel....

Mert ez már hat éve készül milliárdokért, egy német cég csinálja. Ez csak valami pár hónapos, "ne égjünk be a vizes vb-n a papírfecnikkel" project.

> "ne égjünk be a vizes vb-n a papírfecnikkel" project.

Hát most égünk mással :)
Különben is, feltűnt volna a fecni a sok egyéb dolog mellett, ami miatt volna okunk égni?

A javítás előtti állapot - amikor a vásárló mondhatta meg, hogy mennyiért veszi meg a jegyet/bérletet - az a BKV/BKK tesztje volt, amivel az utazóközönséget szondáztatta mg, hogy szerintük mennyit ér a szolgáltatás. És miután kiderült, hogy az utazóközönség nagy számban az eredetileg közponilag beállított áron vette a jegyet/bérletet, nyugodtan hátra lehetett dőlni, hisz jól lőtték be az ár/érték arányt.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Illetve ennél jobb indikátora nincs is annak, hogy Magyarországon a korrupció tényleg csak nyomokban fedezhető fel, ha egyáltalán. Már a bliccelés korábbi legfőbb pódiuma is a tisztesség színpada lett.

Az lesz a csoda ha eddig még nem bányászta ki senki a useradatokat belőle.

Az egyik facebook csoportban írták, hogy simán le lehet kérdezni az ÖSSZES felhasználó által megadott user/password/szemigszám kombinációt, plaintext-ben, kódolatlanul.

Tehát ha véletlenül olyan jelszót adtatok meg itt, amit máshol is használtok, akkor érdemes lenne jelszót cserélni...

így gyűjtenek jelszavakat az oroszok, ha már kipaterolták őket a vizes vb-s közwifiből :)

A NER-ben nincs okunk rá, hogy titkaink legyenek egymás előtt.

https://www.youtube.com/watch?v=KqWYlb7_t7U

sed 's/NER/MO/g'

Témába vágó videó a programozói etikáról, avagy: ha a programozók nem csinálnak "céhet" maguknak, akkor hamarosan valami tökkelütött bürokrata teszi ezt meg, és azzal mindenki nagyon rosszul jár majd.

GOTO 2017 -- The Scribe's Oath -- Robert "Uncle Bob" Martin

https://www.youtube.com/watch?v=Tng6Fox8EfI

Én is ezen gondolkozom.

Miért nem adnak ki a nagyobb IT cégek egy közleményt, hogy ez így botrányos.

Mert a T eleg sok uzletagban erdekelt es hat nem biztos hogy egy ilyen kozlemeny megeri azt a par millio elvesztett bevetelt...

A T a hibas BKK szerint. :-/

Szerintem a nem megfelelo gondossagot kimeriti, hogy szerver oldalon nem validalnak inputot...

http://index.hu/tech/helpdeszka/2017/07/17/bkk_e-jegyet_vett_azonnal_valtoztasson_jelszot/

Épp akartam írni, hogy ez sok mindent megmagyaráz :))

"a rendszert kifejlesztő és működtető T-Systemst"
Ez komoly, hogy a T-Systems követte el?

A "T" kb szítok szó fejlesztői és üzemeltetői körökben, de ez még így is durva lenne...

Átjáróházból is lehet kolostort kialakítani, de spontán módon előbb lesz belőle kupleráj.
Beérett?

esélyes, hogy igen.

miért ők csak fővállalkozók, alattuk ki tudja ki követte el..

azért mert nagy cég, nem jelenti azt hogy minden ami kezükből kimegy profi. sőőt! ellenkezőleg a bürokrácia fellegvára lehet, mire ott végig megy a legkisebb hibajavítás is.
Gondolom senki annál a cégnél nem érzi magáénak a BKK jegyvásárlást. A vezetőknek meg holt mind1 mivan, a BKK úgy is fizet, meg úgyse értik mi az hogy "plaintext".

(Ha már public program pl. bubi telefonos appját is egy átlag hobbi programozó jobbat dobna össze.)

Nem jelenti, hogy ami kimegy a kezük alól az profi, de erősen megrenditi azt az elképzelést, hogy a szomszéd pistikére sózták rá a feladat és átjátszottak neki sokmilliárdot érte. Ha a bkk a T-től rendelte meg a rendszert és ezt a szemetet kapta érte, akkor ott nem valószinű, hogy a bkk a hibás.

Az erre költött összegnek a töredékéért tudnak magán cégek csináltatni maguknak normális működő megoldásokat, akár T-vel, akár mással. Valahogy mindig az állami megrendeléseknél van a gond. Ez azért elgondolkoztató...
De persze ha a böllérkés jó végén állsz, akkor a disznótor is lehet jó móka (már akinek!)

hidd el hogy nem csak az állami megrendelések tudnak gány hányadék használhatatlan foshalmok lenni :).
Főleg a sikerre ítélt projektek között nem is kell keresni a hasonló példákat..

Jól használod az automatikus tárgyeset :)
Egyébként a bkk _is_ hibás. Az átvett rendszert ugyanis illik tesztelni, mielőtt élesbe kiteszed. Pláne ha ez nem jóskapista vebsopja, hanem.
Na ez nem volt tesztelve...

Mire gondolsz? A megrendelőnek (bkk) kellene penetration test-et futtasson mielőtt átveszi? Érdekes gondolat.
A megrendelőnek azt kell tesztelje, hogy működik-e, lehet-e jegyet vásárolni vele, nem azt, hogy hackelhető-e.

tekintettel arra hogy gondlom a tsystems nem a polcról vette le a rendszert hanem volt egy kezdeti fejlesztés, annak a követelményspeckójába bele kellett volna írni az auditot. csak a sok zseni mánáger biztos kihúzta volna a tételt mert olyan költség amit meg lehet "spórolni" úgyse tűnik fel senkinek a végén, pláne ha értelmes emberek tervezték & implementálták az alkalmazást.
Ha nem volt ilyen követelmény akkor a bkk -is- hibás.

amúgy meg igenis a megrendelő felelőssége is hogy ne egy kalap szart vigyen haza: üzleti etika? lehet feltételezni de nem érdemes rá számítani. a mindenek feletti profitmaximalizálásból adódik hogy a minimumot épphogy teljesítő rendszereket szállítanak, nem pedig "jó megoldás"-t (amit saját magadnak alkotnál)

(főleg használt) autót vásárlás után is elviszed szervízbe hogy megnézze egy hozzáértő.
házat se fotó alapján veszel meg mert a leírás alapján ez jó lesz neked...

Nekem ez már nagyon erőltetett, megpróbálhatod ráhúzni a bkk-ra a vizes lepedőt, de jogilag biztos nem állja meg a helyét ez. Nem a szomszéd pistikét bizták meg, hanem egy óriás multit a rendszer kifejlesztésével, a rendszer elkészült, működik, teljesiti a követelményeket, a userek tudják használni. Hogy egyébként feltörhető (volt, mert már javitották), az abszolut nem a megrendelő hibája, ez a T felelőssége.

Azert business oldalrol mi mindig mindent elkovettunk a T-nel (nem T-Systems "csak" Telekom), hogy terdre kenyszeritsuk a fejlesztok alkotasait. Szenne hekkeltunk mindig mindent frontend oldalrol, ki milyen csomagokat hogyan tud rendelni illetve milyen anomaliakat tud eloidezni (letesitesi helyek idopontok visszatorlesek kedvezmenyekkel trukkozes etc).

Ha talaltunk ilyesmit az nyilvan show stopper volt es ulhettek vissza egy kicsit kodolni. Szoval igenis nekik is van valamennyi felelosseguk.

atg ? :)

Folyamatszervezes, Ugyfelszolgalati igazgatosag, T-Home csapat ;)

1. Az erdőben sétálva egy lepkét megláttam,
Színes szárnyain sebesen szállt.

2. Oda se figyeltem, elkaptam hirtelen.
Színes szárnyain már nem szállt.

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

3. Verdeset szerényen,hogy nyugtassam, s megvédjem
Ujjaim hegyével ápolám.

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

4. Nem nyugszik szegényke, ezért hát mit tegyek,
Tenyerem ütését kiállá.

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

5. Hát te még mindig élsz, nem lehet kislepkém,
Hogy dögölj meg, ököllel verlek én!!!

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

[élt túl sok évet]..

:-D

A pillango projekt elejen valtam meg a cegtol. Ugy hallottam nagy siker volt :D

Ahogy elnéztem mindenhol beszopja előbb utóbb a felső vezetés hogy jó dolog lesz dobozos alkalmazásokból csillaghajót építeni ami mindenkinek mindent -is- megcsinál..
De lehet hogy csak én vagyok túl maradi (sic!) gondolkodású..

Elso beszolasom az volt a projekt kapcsan hogy tan nem egy Siebel-t kene elkezdeni takolni mert ultra szopas lesz.

Ssssss ez joleszezigy volt a valasz. Ok good luck with it. Aztan elkezdtek fogyni a milliardok (igen nem milliok milliardok csak hogy aki nem volt benne az is erzekelje mekkora love egy SAP meretu Brand rendszert customizalni :D )

Azt se ertettem, hogy a mar majdnem mukodo (80%) ICDB-t amit szinten csilliardokbol fejlesztettek miert kellett legyilkolni de valoszinu ez mar politika logika nincs sok benne...

Mindezt ugy hogy korabban mar beszoptak az OSS-el

Uj kozep/felsovezeto _mindig_ szetbasz valamit, amit az elodje vezetett be.
Ez tipikus magyar manager hozzaallas, foleg nemet/skandinav cegeknel.

Borítékok vezetőtől az utódnak, amelyeket krízisben kell sorszám szerint kinyitni:

Boríték 1: MINDENT KENJ RÁM!
Boríték 2: SZERVEZZ ÁT!
Boríték 3: KÉSZÍTS 3 BORÍTÉKOT!

Legalább 40 éves klasszikus, de a legnagyobb multinál is pont úgy működik, mint hajdan a Porfészek MGTSz-nél.

Best :D

ami az icdbbol mukodo volt szorgos indiai kezek azt is nagy sebességgel aprítják azóta :).

Még egyszer kérdezem, milyen felelőssége van a bkk-nak? Jogi?
Mert ti - nagyon helyesen - tudtok pentestet csinálni, mielőtt átvesztek egy munkát, ők meg nem tudtak/akartak? Milyen törvényt sértettek meg ezzel?

Ráadásul SaaS-ban, lehet a forrást se látták, nem is érdekli őket. Kértek egy rendszert x funkcióval, megkapták, működik az x funkció. Ha hibásan működik, akkor a T javitsa ki. Kijavitotta, saján renoméját jól megtépázta a T a balhéval, ennyi a történet.

[előfeltevés:tényleg_leakelt_minden_személyes_adatot]
Jogi, ugyanis az adatvédelmi nyilatkozatukban (http://bkk.hu/apps/shop/bkk_shop_adatkezelesi_tajekoztato.pdf) önmagukat nevezik meg adatkezelőnek (4. pont).

Az 5.3. miatt ráadásul pénzügyi felelősségük is van ("A BKK az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt megtéríti.")

Ráadásul:

Idézet:
Az ilyen fenyegetésektől megvédendő a BKK megtesz minden tőle elvárható óvintézkedést, ennek keretében a rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen és bizonyítékkal szolgálhasson minden biztonsági esemény esetében

Innentől az üzemeltető T-re mutogatás sem áll, mert említés szintjén sem szerepelnek az adatvédelmi tájékoztatóban, sőt az 1.2-es pontban "önálló adatkezelő"-nek titulálják magukat.
[/előfeltevés]

Szerk.: T-re mutogatás kettő pont nulla (bár semmit nem jelent): a shop.bbk.hu által mutatott IPv4 cím az Invitelhez tartozik a RIPE szerint :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ha az ilyen egyértelmű, akkor biztos lesz belőle per, kiváncsian várom.

pont mivel óriás multiról van szó ezért a felelősségek még inkább átláthatatlanok. nem húzok lepedőt senkire, de ha nem értek valamihez akkor a tervezéshez is megbízok szakembert pl építkezés. a kivitelezést meg rábízom egy másik szakemberre. és igyekszem annyira a közelülben lenni folyton amennyire lehet hogy tuti ne legyen gányolás. ez nem jogilag ez vagy az hanem a saját jól felfogott érdekem.

Ha meg segghülye vagyok valamihez és kiadok minden kontrollt a kezem közül akkor legalább olyan szerződést írok amiben kellő eszközök vannak arra hogy az érdekeimet és az üzembiztos működést garantálni lehessen.
Na ebben is van felelőssége a megrendelőnek.

Persze mondhatod azt hogy miért trágyadombot szállít a nagy szoftverház, de ha a trágyadomb megfelel a követelményeknek: alakra, működésre a szagról meg nem kötöttél ki semmit akkor az bizony a saját marhaságod.. hogy elfogadtad és hogy használod is (nem kevés $ért). a cég az cég: a leírt elvárt minimum követelményeket jó esetben teljesíti.

Ennek az eldöntéséhez azért ismerni kéne a specifikációt.

Az ügyfél valamit kér, a fejlesztő valamit szállít. Jó esetben amit az ügyfél kér, azt teljesíti.

Ha az ügyfél nem kért valamit, akkor elméletileg az a jó, ha a fejlesztő nem implementálja azt - viszont nem ártana felhívni a megrendelő figyelmét, hogy figyi, ezt nem így szokták.

Az is lehet, hogy az ügyfél konkrétan azt kérte, ami minden kommentelő szerint hülyeség. Persze ilyenkor is érdemes szólni, de nekem pl. volt már olyan ügyfelem, ahol elmondtuk, hogy amit kérnek, azzal mi a gond, elmondtuk, hogy ezt hogyan szokás csinálni, és annak mi az előnye, mire ők azt mondták, hogy értik, de szeretnék, ha mégis úgy lenne, ahogy kérték.

Egyébként ha nekem kéne tippelnem, azt mondanám, hogy kért a BKK egy rendszert. A T készített egy proof of concept implementációt, aztán mondjuk határidő vagy csak ostobaság miatt a BKK kitalálta, hogy hát ha már működik, akkor kiteszik élesbe.

proof of concept-et amiben koncepcionális ordas baromságok vannak? szép kis tervezői munka :)

PoC bemutatja a funkciót. A funkció az, hogy lehet jegyet és bérletet venni, és képernyőn megjelenik QR kóddal.

Mivel az igazi termék általában nem a hipp-hopp összedobott PoC foltozgatásával, hanem 0-ról megírásával (gyakran más programnyelven) készül el, ezért teljesen mindegy, hogy a PoC-ben milyen baromságok vannak.

Csak annyi a célja, hogy megmutassa, hogy az adott architektúrán az, amit kitaláltak, akár működhet is.

Már csak meg kell írni. :-)

más tartalmat társítunk akkor a fogalomhoz.

én működő de még messze nem tökéletes megoldást, te meg valami show-off [#*!?]-t nevezel ennek. egy kattintgatható statikus html lapokból álló akármi szerinted megfelelő poc egy ügyviteli rendszerhez pl?

gyakorlatilag amit említesz azt kb frontend app-oknál tudom elképzelni de ott is inkább sales demora lehet (? ha egyáltalán lehet) használni, de arra is csak vetítésnek hisz pont te írod hogy még a felhasznált tech stack se az alatta mint amit validálna: proof of concept: ez így egyben működhet, elvileg erről szól. felületnél is ha nem azzal generálod a felületet amivel később fogod, tuti nem lesz ugyanolyan..

Idézet:
egy kattintgatható statikus html lapokból álló akármi szerinted megfelelő poc egy ügyviteli rendszerhez pl?

Szerintem attól proof of concept valami, hogy bemutatja, hogy az adott elképzelés működni tud. Ehhez az összes kapcsolódást és architekturális elemeket használnia kell, hiszen ha nem használja ezeket, akkor nem tudja bizonyítani, hogy működik az elképzelt koncepció.

Azt feltételezem, hogy egy ügyviteli rendszer része az, hogy mondjuk egy adatbázisból kiolvasson adatokat, kilistázza, így-úgy rendszerezze.

Így, ebben az esetben nem mondanám ezt megfelelőnek.

A statikus html oldal frankó a UX és a grafikai dizájn valamint a munkafolyamatok lépéseinek bemutatására.

Hogy valós példát mondjak: volt egy feladat, időnként valami távoli szerverre feltöltött több fájlt be kellett tölteni valami adatbázisba és ezekből összeállítani különféle jelentéseket.
A PoC egy nagyon gyorsan összerakott python program volt, ami csak limitált adatmennyiséggel tudott dolgozni, lassú volt, viszont megmutatta, hogy az elképzelés működhet, 1-2 korláttal (bizonyos adatokat nem lehetett összekombinálni a bejövő fájlok adattartalma miatt).
Egy csomó edge case, pl. hibás bemeneti fájlok, hiányzó bemeneti fájlok, adatismétlés, hálózati hiba, rossz jelszó, ez-az, nem volt kezelve benne.
A végső megvalósítás úgy emlékszem, C++-ban született meg, és mindenféle trükkös hiba esetekre is felkészült.

Olyan példám is van, ahol a PoC nem tárta fel, hogy gond lesz:
Egy csapat készített egy PoC-t: az előre eltervezett architektúrán végrehajtotta a feladatot: egy cég adatainak betöltése Oracle adatbázisba, aztán egy weboldalon az adatok kereshetősége.
Ment.
Az ügyfél kitalálta, hogy akkor ez menjen élesbe. Úgy számolták kell egy kis faragás, hogy több céget kezeljen, de a kód nagy része kész.
Csak aztán kiderült, hogy a példa cég adatmennyiségével elbírt ugyan, de más cégek nagyobb adatmennyiségét több, mint 24 óra betölteni, és egyébként a cucc nem skálázódik, szóval a kereső weboldal egyszerre az elvártnál kb. 2 nagyságrenddel kevesebb embert tud kiszolgálni.
Egy darabig vergődtek, de aztán megértették, hogy új architectúra kell.

És számos olyan példát is láttam, ami hasonló volt ahhoz, amit te gondolsz: a PoC nem volt más, mint a végleges architektúrán a végleges programnyelven valaki összerakott gyorsan egy megoldást, ami egy-két esetet korlátozott adatmennyiséggel végigvitt.
A gond mindig akkor volt, amikor a megrendelő azt hitte, hogy akkor ezzel kész is van a fejlesztés, mehet élesbe és eladhatjuk az elektronikus bérleteket vagy akármit a publikumnak.
Közben meg ha a fejlesztőnek, architectnek azt mondod, hogy PoC lesz, akkor arra mennek rá, hogy hamar kész legyen a cucc, nem arra, hogy minden NFR-t kielégítsen és minden speciális esetet is kezeljen.
Szóval kb. simán el tudom képzelni, hogy pont ez történt a BKK-nál is.

Úgy gondolom, hogy a BKK-s PoC-nek pl. tartalmaznia kellett valami adatbázist, hogy a felhasználók regisztrálhassanak, tartalmaznia kellett valami működő fizetési megoldást, hogy a felhasználók megvásárolhassák a jegyet vagy bérletet, és végül meg kellett jelenítenie a jegyet/bérletet, úgy, hogy a felhasználó felmutathassa ellenőrzésre.
Az, hogy az adatbázisban jelszót tárolnak, vagy hash-t pl. az szerintem egy olyan részlet, amit a PoC után, a rendes implementáció közben kellene pl. egy IT security-höz értő architectnek definiálnia.

Remélem, érthető, hogy mit próbálok magyarázni

" Az, hogy az adatbázisban jelszót tárolnak, vagy hash-t pl. az szerintem egy olyan részlet, amit a PoC után, a rendes implementáció közben kellene pl. egy IT security-höz értő architectnek definiálnia."

Nagyon remelem, hogy nem sullyedt az informatika olyan szintre, hogy ehhez architect kelljen.

Ez a szint ami a T-nel produkaltak az valahol egy retardalt fogyatekos junior php24 ora alatt programozo alatt van joval. A mostani altalanos iskolai oktatasban levo programozasban magasabb a szint mint amit ebben a PoCben produkaltak.

A megrendelőnek eleve elő kell írnia az iparági standardok szerint fejlesztést (nem csak a végterméknek, hanem a fejlesztés folyamatának is ennek megfelelően kell történnie).
Ezen felül teljes kártérítési felelősségre kell szerződnie (azaz ha a vállalkozó nem tartja be az általa vállaltakat, akkor akár a megbízási összegnél nagyobb kárt is leverhet rajta a megrendelő - mivel a rendszer éves forgalma több, mint amibe kerül a rendszer, így ez valós lehetőség) és/vagy kötelezően elő kell írni (közvetlenül vagy közvetve) a független auditálást. Persze ha csak az első eset van, akkor is a vállalkozó elemi érdeke, hogy saját hatáskörben megbízzon egy független auditort. Mert ha ezt nem teszi, egy perben nem tudja könnyen bizonyítani, hogy jól csinálta a dolgát, és egy milliárdos kártérítésbe simán csődbe is mehet a cég.

Mivel SaaS így gyakorlatilag minden a szolgáltató felelőssége.

Azért "végigkattintani" illik. És ha egy jelszóemlékeztető levélben visszakapom a saját plaintext jelszavamat, akkor aki kicsit is hozzáértő az sikít, hogy ezt így nem szabad élesbe engedni. A bkk oldaláról vagy nem volt ilyen, vagy volt csak felülbírálták a véleményét felülről. Szóval itt egyértelmű a bkk felelőssége.

Másrészt meg az ő nevük alatt, az ő domainjükön megy a rendszer, és az ő termékeiket veszik meg rajta és ebből nekik lesz bevételük. Szerintem teljesen logikus, hogy a megrendelő akár 3. féllel is ellenőrizteti a rendszer biztonságát.

Szerintem te még mindig kevered a jogi felelősséget (ami itt nem nagyon merülhet fel) a szakmai felelősséggel. HA(!) ért a megrendelő hozzá, akkor csinálhat penetration test-et, de nem köteles. A megrendelőnek annyi a dolga, hogy kipróbálja a kért funkciók működnek.

Az a hulladék amit kiadott a T, az az ő felelőssége. Ki is javitotta, igy szakmailag nincs mit pörögni a dolgon a tovább, hogy ez mekkora arcvesztés nekik (a T-nek, nem a BKK-nak) az már egy másik kérdés.

Szerintem az általam _a_ _bkk-nak_ megadott kezeléséért a bkk a felelős jogilag. Én - tudomásom szerint - a bkk-nak adtam meg az adataimat azért, hogy a bkk szolgáltatását megvehessem a bkk-tól. És innen kezdve a kutyát nem érdekli, hogy az nagy té vagy a babámfasza bété fejleszti vagy üzemelteti azt a szarhalmot, a bkk felelős érte, pont.