BKK e-ticket

 ( toMpEr | 2017. július 14., péntek - 17:44 )

> A szerver felé továbbított kérésben a kosárba rakáskor kell átírni egy számot, mert a böngésző küldi el a szervernek, hogy mennyibe kerüljön a bérlet.
- via Meghekkelhető a BKK rendszere, bármennyiért lehet jegyet venni

Cleartext jelszótárolás


via https://twitter.com/vista_df

Valamint:

> "Úgy látszik magától nem csatlakozik a netre, és ezért mondták azt, hogy naponta legalább egyszer frissíteni kell a felületet. "

Ennek vajon mi értelme? Feltételezem van egy QR kód, azt leolvassa az ellenőr és központi szerver segítségével egyből látja a random id-hez tartozó adatokat. (persze lehetne digitális aláírással offline módon is csinálni, de ilyen űrtechnikát nem feltételezek)

Próbáltam keresni a rendszer kiépítésére szánt költséget, de a "BKK eticket millárd" -ra a google csak egy 2013-as cikket dobott ki:
> "A döntés értelmében a bank 54,5 millió euró értékben finanszírozza a projektet, amelynek bevezetése jövőre kezdődhet el. "

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Tudod, nem az a fő gond, hogy a szakma szégyeneivel rakatták össze ezt az egészet (vagy kezdő juniorokkal), hanem az, hogy erre valszeg milliárdokat költöttek.

+1 :(

+ rejtett sub

Mondok ennél főbb gondot is: akadunk sokan, akik akkor IS káanyáztak, amikor Fletóék csesztek el negyedmilliárdot kormányzati kommunikációt szolgáló, egyébként ingyenes szoftokra - de sokkal többen vannak, akik szakmai érzékenysége szelektív, és CSAK akkor káanyáztak.
A legeslegfőbb gond, hogy ez minden szakmai területen elmondható.
A bárányok hallgatnak, Clarice.

Ubuntu 5000ft/gép. Jöhet :D

Inkabb az elobbi, mert ez a juniortol is meredek lenne.


<3 openSUSE, Ubuntu, KDE <3

Ez valami szenzációs :D Nem hittem el mikor olvastam az indexen a cikket, de kipróbáltuk kollégákkal. Az egész rendszer nevetséges. teljesen kamu emailcímmel (aktiváló email nélkül), pár perc alatt ott voltunk az OTP oldalán ahol 1Ft-ot kért volna a rendszer a bérletért :D Nyilván nem vettem meg, de ez egy hatalmas vicc. Elképesztően kíváncsi lennék arra, hogy ezt kivel és mennyi pénzért csináltatták meg. Ez körülbelül egy középiskolai szintű programozás számtechórán. Bár én 16 évesen már büszkén megoldottam, hogy csak aktiváló email után tudott a kedves user belépni :)

De azért komolyra fordítva a szót: milyen ócska utolsó senkiházi céget sikerült ezzel a melóval megbízni ahhoz hogy POST paraméterben adjuk át a fizetendő összeget, és ez senkinek nem tűnik fel a fejlesztések, tesztelések során, kirakják productionbe és még ők ugatnak, hogy informatikai támadások érik őket. Hát édes istenem, ekkora istenverte lámákat az utóbbi 20 évben nem látott Közép-Európa...

Állítólag lesz ennél jobb is, holnap délután...
--
blogom

ezek szerint nem holnap délután :-)
--
blogom

Ebbol meg nagy botrany lesz.

Miféle botrány? Cikkezgetős-háborgós botrány, esetleg adatvédelmi hatóságilag megbüntetős ejnye-bejnye?

Vagy az informatikai vezetőt, és a beszerzésben érdekelt mindenkit teljes vagyonelkobzás mellett lecsukatós botrány... mert az kéne.

Botrány? biztos lehetsz benne, hogy ennek az egésznek sem személyi, sem anyagi, sem jogi következményei nem lesznek.
Hacsak nem kikiáltanak a fejlesztés lánc alján egy junior coder-t bűnbaknak, ha már nagyon muszáj lesz csinálni valamit. De abban biztos lehetsz, hogy azokon a menedzsment szinteken, ahol azt kellett volna mondani, hogy "Ne már gyerekek, ez most komoly?!?!? Na üljetek szépen vissza a gép elé,és fussatok neki újra! dekurvagyorsan!!!", na ott semmiféle következménye nem lesz. Se megrendelői oldalon, se beszállítói oldalon...

Én is tartok ettől, de azért annyit megtehetnénk, hogy bejelentjük az adatvédelmi hatóságoknál az esetet. Kellene külföldi érintett, hogy ők is megtegyék a saját országukban.

Az egész problémát Soros találta ki. Az e-jegy tökéletesen működik, csak pár bűnöző visszaélt vele, és megpróbálta átverni a BKK-t. Természetesen nem sikerült.

Ez most szarkazmus ? kérdezte Sheldon, mert nem mindig találom el..

Bazinga - és most a hétvégén patchelnek vagy homokba dugják és nem ismerik el...
első fázisnál tartanak - elutasítás, tagadás és jön a düh

Nem szarkazmus, tényleg lehallgatnak! - Mondta Stirlitz!

“- És ha… fizetést ajánlanék, hogy dolgozzon?
– Engem nem lehet megvesztegetni.”
Rejtő Jenő

sajnos látom, hogy _egyes_ állami IT projektek hogyan valósulnak meg - lenne kedvem kiálltani b@meg az nem az alagút vége fénye, hanem
szembe jön a vonat...

és egy-egy projekt átadás/lezárás kapcsán, "MEZTELEN a Király" - nincs kész, nem működik - Ezt hittem hogy a szocializmussal ennek _IS_ vége :-(

Sajnos ez van ha a "menedzsment szinteken" valakiknek a valakikjei ülnek, nem pedig hozzá értő emberek. Ez mára már teljesen általános, nem csak az IT területen.

Észre kell venni, hogy ez a tragikomédia csak a legalsó szintjén IT-balhé. Mondhatni, a legkevésbé az: a belső vérzéstől lázas és kómaközeli betegen a gennyes kiütés, ami a legjobban látszik.

Gyönyörű hasonlat:)

Vagy inkább szemléletes! ;)

:D (y)

Még, hogy következmények ... itt, Abszurdisztánban?
Nem tudom mit szívsz, de add meg a dealer-ed számát. Nekem is kell abból a cuccból :D

ha bantjak a bkk e-ticketet meghosszabbitjak bicskeig..

ez a post nálam nem jön be most. valaki leírná hogy miről szól(t)?
köszi

Az összes felhasználó minden beírt adatát elérte, beleértve a plaintextben tárolt jelszavaikat.

az bájos...

Most már amúgy kijavították a "bármennyiért" vehetsz jegyet hibát. De kiindulva ebből, gondolom még 1000 másik lyuk tátong a rendszeren.

Da ha jól gondolom ehhez mind a kliens, mind a szerver oldalon kellett vátoztatni, és erősen kétlem a mély tesztelést. (Mondjuk ha belegondolok, a kliens oldali módosítás elhagyható, égül is elég, ha aa szerver nem veszi figyelembe az átküldött paramétert.)

Vajon hogy zajlott a sérülékenységi teszt: "Mancika, próbálja már megtörni!"

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Publikus bétateszt van.
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

analfa-bétateszt

Egy facebook postról volt egy screenshot, itt is megtalálod.

köszi

google cache is túl bonyolult ha a waybackmachine-en nincs meg? :)

Fő a kedvesség és a segítőkészség, ami árad a hozzászólásodból. Tipikus hupra való :)

részben jogos, de majd 10éves reggel talán elvárható lenne egy minimál erőfeszítés/próbálkozás mielőtt feladod :)

*keresi a hup szabályzatát, ahol az elvárások listázva vannak*
*not found*

Nézd, nem jutott épp eszembe, mert egyébként minden mással foglalkoztam. Ez van. A rosszindulatú visszakomment inkább gáz, mint hogy nem néztem utána, ráadásul ahogy látom hiába tettem volna.

Egyébként meséld még el, milyen kötelező eszközöket illik ismernie egy 10 éves hup regnek?

nem szabály, csak én gondoltam így. de ha bántónak érezted akkor megkövetlek: elnézést.

ahelyett, hogy elkezded tolni a kretent fullba (pedig emlekezhetnel a szabalyra) inkabb leirhattad volna hogy igaza van, es sorry, nem jutott eszedbe, de e helyett csak picsogsz...

Leírtam, hogy nem jutott eszembe, és nem érzem, hogy bocsánatot kellene kérnem azért, mert nem kutattam fel az internetet egy törölt cikk után. Ja és nem picsogás :)

"A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni."

EZ BAZMEG!

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

"A BKK sajnálattal tapasztalta, hogy a beszerzett járműveit a csapadék folyamatos korrózióval próbálja tönkretenni."

+1 nevettem

[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS

+100

Hatalmasat nevettem volna, ha lenne hangom.

:DD
--
"Sose a gép a hülye."

Nevettem volna, de sajnos túl közel van a valósághoz ahhoz, hogy szarkazmusnak tekinthessem. :)

Jelentsék fel a csapadékot is :D

Ez nálam is kinyitotta a bicskát a zsebemben.

Erre szavak nincsenek.

TROLL:
Valakinek a tesójának az unohagúgának az öccsének a keresztapjának a lánya végzett 14 hónap alatt a programozó iskolában, szóltak neki, "alapíccsá tesó céget", mert van egy vaskos megbízásunk.

Ameg, összeprogramozott egy mondern felületet pár misiért. khm, milliárd inkább. Azt jóvan az úgy, majd a sajtó osztályon megmondják a tutit, hogy nem a rendszer a rossz, mert egy okleveles profi csinálta, hanem az emberek a hülyék, mert rosszul használják.

Ki is rakhattak volna egy nagy piros gombot "ne nyomd meg!!" felirattal, ami triggerel egy "rm -Rf /" -t a site-ot hosztoló szerveren. /Tuti úgyis root alatt fut, hogy megoldjanak vele pár jogosulltsági gondot :D/
Aztán ha valaki megnyomja, beperlik, mert oda vótt há' íva, hogy ne nyomd meg tesa. :D

ctrl+u után még wordpress-t is látok.
Remélem a WP frissítésre is kötöttek egy vaskoks megbízási szerződést, hogy frissítve legyen. :)

----------------------------------------
o.-

Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips PHP/5.6.26
Ebbol kb kitaltalhato, hogy CentOS 7 futik alatta. Viszont a PHP maga 5.6.26 ... eleg regi es jopar CVE is jott ki ra...

Nem ertem egy Prod rendszer miert hirdeti magarol pontosan, hogy micsoda. Emlekeim szerint 1 parameter atirasaval nem mond tobbet magarol csak, hogy Apache ...

De akkor is az a hozzaallas, hogy feljelentunk mindenkit, de hagyjuk a tervezesi, implementalasi, alapvetoen rosszul mukodo oldalunkat futni... Nevetseges...

Önmagában a szoftververzió nem jelent egy CentOS-en vagy Debian-on vagy Ubuntun foltozatlanságot. Szeretik meghagyni a kiadáskori verziót, de ettől függetlenül backportolgatják a biztonsági és hibajavításokat. Az más kérdés, hogy a megfelelő production konfig már az adminon múlik.

Ezzel a backportolassal teljesen tisztaban vagyok.

Mas kerdes, hogy nem az adminon mulik egy ilyen helyen. Megfelelo technikai specifikacionak kellene leteznie minden alrendszerre aminek ki kellene ternie a minimalis biztonsagi beallitasokra. Itt bele kene tartozzon, hogy nem hozzuk orszag vilag tudtara, hogy milyen verziot hasznalunk (dolgozzanak meg erte)... De hat ez a BKK-nal neha nagyobb helyeken sem megy zokkenomentesen...

Sikertörténet!!!

Sql injekció majd meggyógyítja:)

Csodálom, hogy még nem történt meg.

csak egy szó: szégyen

és a legjobb az egészben,ahogy korábban is írta valaki, a felelősök úgy sem lesznek elővéve.

Majd a 18 éves gyerek elviszi a balhét, aki galádul rájött erre az egészre és próbaképp vett egy 50 forintos jegyet, amit nem használt fel, de pechére értesítette ezeket a szakbarbárokat, akik a feljelentették köszönetként.

Azért azt az apró pici tényt elfelejtetted, hogy a(z egyébként nem olvasott email cimre történő) "bejelentése" után azonnal szaladt a sajtóhoz és ebből kirobbant az elmúlt évek egyik legnagyobb ilyen jellegű cirkusza.

Valószinű inkább emiatt jelentették fel és nem azért, mert csendben megkereste őket és szólt nekik a problémáról.

Jah gyerek fasz volt. Varnia kellett volna, hogy fixet berakjak sprintbe es 2 het mulva commit kedden kimenjen javitas. Ugy legalabb adott volna eselyt mindenkinek letolteni a teljes adatbazist. Igy viszont akik nem olvastak hireket lemaradtak ingyen adatokrol :(

De gondold el, milyen kellemetlen volt szegény Senioroknak, el tudom képzelni, hogy be lettek rántgatva, hogy 3 óra alatt fixálják meg a rendszert.

Elég csúnya lehet a helyezte a T-rénél, ha ezt egy(több) senior követte el.

Remélem, ezt Juniorok követték el, csak nem volt senior a csapatban. Remélem.

Az az apró tény nehogy kizökkentsen az eszmefuttatásból, hogy a feljelentett gyerek nem az info leak-et fedezte fel, hanem a jóárasitott bérlet vásárlás lehetőségét és szaladt is a sajtóhoz elmondani a részleteket, hogy mindenki tudjon lopni.

En ugy tudom, hogy szolt a BKK-nak, de nem erdekelte oket. Viszont mivel mindenki jelszavat el lehetett lopni ezert fordult sajtohoz, hogy hamarabb megoldodjon.

"szaladt is a sajtóhoz elmondani a részleteket, hogy mindenki tudjon lopni."

Többször el lett mondva, hogy előbb a bkk-nak szólt, és akkor írt a sajtónak, amikor nem kapott választ. Cikkekben volt, srác is nyilatkozta, stb. Itt is le volt írva többször. Mi a francért kell tényként ilyeneket állítani ezek után is????

Amúgy konkrétan mennyi idő telt el a BKK és az Index értesítése között?
Nem kötői kérdés, tényleg nem tudom.

allitolag egy hetvege.
pentek: email bkk-nak, hetfo: email sajtonak.

Magyarul a gyerek pénteken bedobta a hétvégén zárva tartó ügyfélszolgálat email címére a cuccot, és hétfőn elment a sajtóhoz? Szép.

"(az év minden napján 24 órában fogadjuk ügyfeleink hívását)"

Sajnos külön nincs kiemelve az emailes support, de ha telefonos van 0-24-be, akkor az emaileket is olvassák talán, nem?

Ezt én is láttam, de felteszem, a 24/7 ügyfélszolgálat ilyenkor skeleton crew-val megy, nem tartom valószínűnek, hogy emailekre válaszolnak. Legalábbis máshol így szokás, a BKK-nál fogalmam sincs, úgyhogy fixme.

nem tartom valószínűnek, hogy emailekre válaszolnak

Akkor biztonsági incidensekre hogy a faszba reagálnak 7x24-ben?!?!?!?

(A kérdés költői volt, nyilván sehogy, most keresgél a TSH a leendő SOC-jébe embereket)

+1

+1

Direkt visszakerestem, és jól emlékeztem: én pl. leveleztem ügyfélszolgálattal tavaly dec. 23-án, péntek este. Szóval nem lehetetlen megoldani, ha a szolgáltató fontosnak tartja.

Cuki ez az oktondi okoskodás amivel megideologizáljátok hogy az anyu lakcímváltoztatása és a latest bevezetett rendszer bugreportja aminek az L1 supporttól kezdve át kellene mennie még egy másik céghez is (T) az egy és ugyanaz.

Igazad van, az utóbbinak sokkal gyorsabban kellene mennie.

Hát, ha egy 500 useres kis cég tud supportot fenntartani hétvégén és ünnepnapon, míg egy közszolgáltató nem, akkor utóbbinál kurva nagy a baj. (A BKK a szerződő fél, leszarom, hogy a T mit csinál.)

Attól függ, mi a termék. A BKK-nak is van ezek szerint 24/7 support vonala, de gondolom arra nincs processz, hogy a L1 menetrendolvasó (line of business) nénitől hogy kerül hétvégén a T-s fejlesztőhöz a ticket.

Nem az a baj, hogy a T-hez nem került át, hanem hogy egy bazdmeg-et se irtak vissza.

természetes is hogy a responsible disclosure jegyében országos botrányt kell csapni a szombat reggeli feles lehúzása után

EDIT: pláne hogy azóta ez a hazugságod is megdőlt, lévén az indexmail is pénteken ment.

juj, megyek is hupmeme-re?

Volt rá hatmillió sékelem hogy nem "mea culpa" jellegű szöveggel fogod kezdeni a kommented

neked bármit

sékeled?

fabatkám, tallérom

Persze, nálunk is van olyan telefonszám/email, amin 24/7/365 adnak supportot, de ennek a felhívása/megcímzése nem olcsó mulatság. Nem ismerem a BKK ügyfélszolgálatot, de ha tippelnem kéne, hajnali kettőkör felhívva őket max abban (nem) tudnak segíteni, hogy az automata benyelte a pénzedet. De ahogy fentebb írtam, igazából fogalmam sincs, ha valaki jobban tudja, cáfoljon meg nyugodtan.

Közszolgáltató-e vagy?

22-25m -ba egy hetvegi on-call support nem fér bele? Bevezetés két hetében / hónapjában pláne?!

De belefér, sőt, ha tippelnem kellene, van is ilyen. A kérdés, hogy az ügyfélszolgálatban ülő menetrendolvasó néni hogy jut el a T-Systems hibabejelentőig, pláne ilyen rövid idő alatt.

sehogy. Látja hogy hülye hozzá ezért továbbítja a levelet a megfelelő emailcímre amiből automatikusan keletkezik bejegyzés a tsystemses (hiba)jegy kezelő rendszerben.

A főnök meg már fut is "személyesen megtenni a büntetőfeljelentést", mert ők így javítják a hibákat.
Igazából körvonalazódik itt két-három-négy-öt állításhalmaz (az "elkövetőé", a bkk-é, a t-systems-é, a sajtóé, a politikai oldalaké, meg akit még kihagytam), amik néhány mellékes pontban akár még fedik is egymást.
Ezek között kellene megtalálni az igazságot, a tényleges eseményekre való rálátás nélkül. Mert itt kb. mindenki másodkézből származó információk, meg a saját világnézete alapján ítélkezik, és megy neki az összes többinek.
Közben meg:
-pár napja még úgy volt, hogy nem szólt nekik
-pár napja úgy volt hogy a noreply emailre küldte a jelentést, amit nem néz senki
-pár napja úgy volt hogy egyszerre szólt a sajtónak meg a bkk-nak
-a bkk-vezér tegnapelőtt azt mondta hogy 45 perccel utánuk velük egyidőben szólt a sajtónak aztán még ugyanabban az interjúban két óra negyvenöt percet, meg négy órát is mondott, mellesleg rákente az egész szart a t-systemsre.
-meg úgy is volt, hogy amikor "riasztott a biztonsági rendszer" akkor T-József "személyesen tett feljelentést", amihez csak "át kellett adni a logokat a nyomozóhatóságnak" aztán már mennek is illedelmesen kopogtatni reggel hétkor, természetesen a logok alapján. Nemám azért, mert az újságban látták, ki az, hanem a logok alapján.
-egyébként meg azóta 5-600 kibertámadás éri őket. Remélem, minden esetben mentek kopogtatni a nyomozók, hiszen a sikeres felderítéshez csak a logokat kell átadni...
-meg azt is mondták, hogy az adatok biztonságban voltak link1 link2

Közben meg van egy olyan, hogy adatvédelmi törvény, meg -állítólag- folyik már az ügyben az adatvédelmi szabályokra vonatkozó vizsgálat is. Lehet tenni a tippeket, hogy mekkora ívben lesz elkenve.

Az állítások helyett a tényekkel célszerű kezdeni. A legelső tény, hogy az e-ticket rendszer egy trágyadomb volt amikor élesítették. Először azzal kellene foglalkozni, hogy a „gyártó” miért gondolta úgy, hogy egy használatra alkalmatlan „terméket” ad át*. Utána azzal, hogy a hibák kiderülése után a BKK milyen intézkedéseket tett a gyártó felé, annak érdekében, hogy a hibákat kijavítsa. Esetleg azzal is, hogy a BKK miért nem tett feljelentést a hibás teljesítés miatt, hiszen közpénzből készült a sz@r.

Ezek a problémák akkor is léteznének, ha senki nem vett volna 50 Ft-ért jegyet. Ha ezeken túl vagyunk már, akkor majd lehet foglalkozni a „hacker” tevékenységével, illetve az erre adott válaszlépésekkel.

*: Ennek két oka lehet: Hihették azt, hogy nincs egyetlen olyan leendő jegyvásárló, aki észreveszi a hibákat. Aki ilyet feltételez, az valamilyen álomvilágban él. Ennél valószínűbb, hogy azt hitték, ebből nem keletkezhet semmilyen káruk, hátrányuk. Az már biztos, hogy erkölcsi káruk keletkezett az ügyből. Anyagi és más következményekről még nem volt szó.

ha hittek volna bármit is, nem mennek bele ebbe az üzletbe. - egyik részről sem -

keletkezett egy politikai nyomás, itt a vizesvb, - ki vizezte be? - át kell adni, mert ez csak egyszer van, nem úgy mint a várkertbazár.

no ezt elvállalták.
nemkelletvó'na.

de ki tudta előre. megbuktak, most visznek magukkal mindenkit, akinek láthatóan köze volt a dologhoz.

azok akik elrendelték, kijárták, kizsarolták, most sem láthatóak, és nem is fogják vállalni a politikai felelősséget, sőt nagy örömmel fognak asszisztálni a felelősségrevonásban.
akit meg majd most felelősségre vonnak, nem fog árulkodni, mert... ki tudja miért?

Sok különböző dolgora kérdeztél rá:

  • a szállító azért adta át mert
    • szerződésben kb első helyen rögzített dolog volt a szállítás ideje. (index cikk)
    • a $ nagy részének kifizetését ehhez kötötték (gondolom)
  • "használatra alkalmatlan"
    • ~ mivel a nyilvános használat előtti nap (?) volt "a belső teszt" (index), gondolom közben ki se derült hogy mekkora foshalom az egész
    • kiváncsi vagyok rá, hogy a 3 hónap fejlesztési idő alatt a bkk mennyire nézte meg akármilyen szempontból a készülő cuccot, vagy szállításkor tákolták tovább
    • ha a managereknek a bónusza bármilyen formában összefuggesbe hozhato a hataridovel akkor a darabokban levő szarkupacot is megpróbálják áttolni ami soha nem futott és egyértelműen összeomlik a második látogatónál
    • ugyancsak érdekelne a timeline amit a bkk felállított, meg az arcok véleménye akik a követelményeket ill arra válaszul a rendszertervet összerakták^1 (megrendelő & szállító részéről is), bár valószínűleg NDA alatt vannak a részleteket illetően a hibák kiderülése után
  • "intézkedések"?
    • van rá biztos SLA hogy sürgősség & súlyosság alapján kategorizálva mennyi idő alatt adnak ki javítást/funkció módosítást
  • hibás teljesítés?
    • Van egy átadás-átvételi folyamat amit szabályoz a szerződésük. gondolom az abban levő összes pontot kipiálták majd boldogan jelentették hogy akkor harcra kész az egész végülis minden rublika zöld. Tehát a bürökráciamotor és az implementációt magasról leszaró (rosszabb esetben ahhoz semennyire nem értő) projektvezetők boldogan pacsiznak és fellélegeznek hogy a sikerre ítélt projektet átküzdötték az akadályon, mindenki jelentheti a főnökének hogy minden tökéletes. ott is kizöldítik az excelben a cellát és boldogság, újabb sikerdíj behúzva.
  • **c) halovány fingjuk sem volt arról hogy mit követtek el, szolgalelkűen implementálták amit eléjük toltak (a programozók), ezért vetettem fel (^1)

    anyagi, erkölcsi stb. kára annak kéne keletkezzen aki
  • a lehetetlen határidőre bevállalja a projektet
  • átveszi és kirakja élesbe (elvégre a bkk felé ő felelős érte hogy átvette miután megbizonyosodott róla hogy a követelményeket mind teljesíti)

Mivel a szerződést nem ismerjük így erről túl sokat nem érdemes vitatkozni. Legfeljebb amin el lehet gondolkodni: ha a teljesítés megfelelt a szerződésben foglaltaknak, akkor az(oka)t a személy(eke)t aki(k) a BKK részéről aláírta('k) a szerződést, egyből elküldjék 100 év gályarabságra, vagy előtte legyen bírósági tárgyalás is.

Semmi értelme 1 embert keresztrefeszíteni az egész projekt-szervezet mulasztásai miatt.

Én jobban örülnék neki ha sikerülne feltárni a különböző szinteken a hibákat és mindenhol megfogalmazni a reális ajánlásokat amiket betartva hasonló kolosszális szarhalom összerakása elkerülhető lenne.

A "felelősségrevonás" helyett a "felelősségvállalás"-nak kéne 'menőnek' lennie:
- igen a [választott konkrét issue]-t én b@sztam el, de már éjt-nappallá téve tekerek rajta hogy kijavítsam és x,y,z módon biztosítom hogy hasonló kreténség ne jusson ki az éles rendszerbe.
A bkk-s probléma csak csepp a tengerben, az lenne előremutató ha ebből adódóan lennének lépések amik hatására az egész folyamat "jobb" lesz.

Tudom naív ötlet ezt még felvetni is...

Ehelyett lesz megint néhány szerencsétlen akit megfenyítenek/kirúgnak de maga a szervezet,módszerek,működés,motivációk stb. marad ahogy volt majd legközelebb előző nap kiadják egy független cégnek tesztelésre, és majd rájuk lehet mutogatni..

És az erkölcsi káruknak sem kellett volna feltétlenül ekkorának lenni. Csakhát az a fránya magas ló.

> a hétvégén zárva tartó ügyfélszolgálat email címére a cuccot
vs. rendszer élesítés.
ráadásul, nem hiszem, hogy aki élesítette, ne tudta volna, milyen állapotban van...
--
blogom

a végén még a gyerek lesz a hibás - hogy szart csinált a T.

csak olvasom a beírásokat - ki így, ki úgy - DE nagyon nem értem - a körülményeket magyarázzátok hol félre, hol újra ..

A dolog lényegére a végén már senki nem kiváncsi.

A gyerek amatőrsége és a szoftver bénasága között nincs korreláció, egymástól függetlenül lehet igaz mind a kettő.

Magyarul mit csinált a ügyfélszolgálat?
Persze, a bkk egy olyan kis manufaktura, ahol normális, hogy hétvégén zárva tartó ügyfélszolgálat van, hiszen mi váratlan esemény is lehetne, nem?

Én is azt mondtam, hogy előbb a bkk-nak irt és csak utána rohant a sajtóhoz, nevetségesen kevés idő elteltével, ráadásul hétvégén, ráadásul rossz email cimen. A többi stimmel.

bkk@bkk-ra irt, ez a hivatalos email címük, hova kellett volna irnia?

A webmaster@bkk.hu nem jobb? Én oda szoktam mindenféle oldalak esetén. (nem állítom, hogy mindig szoktam kapni választ egyáltalán)

nem rossz email cimre, es ket nap nem nevetsegesen rovid egy "kosz bazmeg" visszairasara, a tobbi stimmel.

"és akkor írt a sajtónak, amikor nem kapott választ."

Haha, éppen most hebeg-habog, hogy de ő már 14-én 14:49-kor irt a jó cimre (bkk@bkk.hu) a bkk meg állitja, hogy egyszerre küldte az indexnek is levelet, 16:31-kor már kint volt a cikk az indexen. Tehát ha a bkk igazat mond, akkor 0 másodpercet várt válaszra mielőtt rohant a sajtóhoz (ocsmány húzás), ha pedig az indexesek 0 mp-et alatt irták meg a cikket akkor 2 órát(!) sem várt a válaszra.

+ Azt is hozza kell tenni, hogy o csak a bkk-t ertesitette. Amig eljut a T-hez, ido. A T-nel valakinek foglalkozi kell vele. Raadasul nyaron, Pentek delutan. Persze, nem lehet csak erre fogni, de azert ez igy nem fair.

szart csinálni és átadni a megrendelőnek és bekaszálni érte a pénzt - az fair , ja

A T szart csinalt, az egyértelmű.
Amit ez az ember csinalt, az mas tészta. Semmi időt nem hagyot, hogy lereagaljak. Egyből a nyilvanossaghoz fordult. Ez sem fair dolog.

Fairnek nem fair, de ez volt a legjobb mondja, hogy javitva legyen idoben a hiba es elszamoltassak azt aki ilyen szar munkat vegzett.

Azert kivancsi lennek a felelosok kik lettek cegen belul es mi lesz veluk :)

nincs olyan, hogy fair - az élet nem patika mérleg - egy tapasztalatlan 18.éves srác, aki talált valamit és úgyahogy gondolta megoldotta.
Én azt nem értem, hogy miért az ő dolgairól szól a poszt 80% és nem a tárgyban jelzett BKK e-ticket-ről..

"egy tapasztalatlan 18.éves srác, aki talált valamit és úgyahogy gondolta megoldotta. "

Btk

"Btk"

társadalmi veszélyesség, közérdekű bejelentés...

"nincs olyan, hogy fair - az élet nem patika mérleg - egy tapasztalatlan 18.éves srác"
Remelem leszel olyan helyzetben, hogy egy software-ben hiba lesz es a keszito nem tudja lereagalni, mert pont egy "tapasztalatlan 18.éves srác" talalta, aki szetkurtolte a vilagnak a hibat. Emiatt neked pl. penz vagy barmi mas hatranyod szarmazik. Remelem akkor is ugyan ezt mondod. Nem, nekem nincs semmi kozom ehhez.
Az, hogy 18 eves, teljesen mindegy. Csak, hat ha ezek utan egy igazi hacker kezd el kutakodni, mert egy "tapasztalatlan 18.éves srác" talalt hibat, akkor o is fog. Csak hat o mar nem fog olyan "etikus lenni". Lasd

Aki ilyen amator hibakat vet vezeto IT nemzetkozi cegkent az assa el magat es nezzen melyen magaba aztan vegyen fel olyan embereket akik ertenek ahhoz amit csinalnak.

Ezt szerintem senki nem kerdojelezi meg. Az Alexandra.hu is visszaadta a jelszavakat email-ben. Ott is evekig ez ment. Megse verte ki senki a patariat. Eleg sok ilyen van.

Az lehet, de az nem egy 2017-ben bevezetett új rendszer volt (remélem). Itt a jelszó visszaküldése plain textben is csak a kezdő lökést adta meg a "tesztelésekhez" :) Ha az nincs, lehet senkinek nem jut eszébe 50Ft-ért bérletet venni vagy megpróbálni adminként belépni, vagy ha igen, nem az első napokban.

Hat igen lattuk mire vezet az napjainkban ha valaki veri a mellet, hogy a rendszere biztonsagos mert ugye az elmult 14 evben nem tortent semmi...

Az nem az az Alexandra, amelyik épp "döglődik" ?

a) ..mert sok a kokler: szomoru
b) ..honnan tudod hogy senki sem jelezte nekik. Csak mindenki leszarta
c) ..persze ennek van politikai felhangja is, plusz mivel kozpenzbol keszult igy *jobban faj* mindenkinek, foleg az adocsaloknak :)

b)-hez mondok egy regi (2009 koruli) sztorit, @leho figyelj:

Ceges menzat vivo ceg kajarendeloje annyira el volt baszva, hogy a prepaid egyenleged NOVELNI tudtad a rendelesek random hozzaadasaval-lemondasaval. Nyilvan volt minta benne. Jelezve lett a problema, ropke 2 het(?) alatt meg is oldottak, majd ra ket het mulva VISSZAKERULT A HIBAS KOD. Hogy is mondjam, utana sokan ingyen ebedeltek evekig, amig le nem csereltek a ceget (es ezzel a rendelo weboldalt). ES NEM TUNT FEL A CEGNEK SOHA. (Igen, igy nagybetuvel.)

Ne nevezzük már etikus hekkernek azt, aki nem az. Ez klasszikus szürkekalapos húzás volt.

Gray hats The hardest group to categorize, these hackers are neither good
nor bad. Generally speaking, there are two subsets of gray hats—those that are
simply curious about hacking tools and techniques, and those that feel like it’s
their duty, with or without customer permission, to demonstrate security flaws
in systems. In either case, hacking without a customer’s explicit permission
and direction is a crime.

CEH All-in-one exam guide, page 6

Szépen teleszartad a topic-ot ezzel a bullshit-tel. Senkit nem érdekel hogy gray vagy white, a lényeg az, hogy nem károkozási céllal, nem nyereség elérése céljából csinálta amit csinált, ÉS utána értesítette az "áldozatot" arról, hogy akkora lyuk van a rendszerén hogy az űrből is látszik.

A TechCrunch szépen leírta: "Hungarian hacker arrested for pressing F12"

Akkor most a ballibmédia jelen állítása szerint mégse értesítette az indexet 0-2 órával a BKK után?

Mert ezt mintha (véletlen!) kihagytad volna a timelineodból ;(

Továbbá igen, már elmondtad az álláspontodat: lehessen mindent előzetes egyeztetés nélkül hekkelgetni, fuck jogbiztonság & shieet o/

Lazán kapcsolódik: bökjed csak ide a saját és munkáltatód IP-it, kthx

"Akkor most a ballibmédia jelen állítása szerint mégse értesítette az indexet 0-2 órával a BKK után?"

A - jelenleg - bákákászopkodó és tészisztemsz-mentegető lakájmédia csicskasajtó álláspontja szerint minden fasza, nincs itt semmi látnivaló, jó áron vettek fasza rendszert, csak azpk a csúnya hekkerek.
Értem hogy hogy te ezt jóízűen elfogyasztottad, ugyanakkor egy személyes adatokat kezelő, közpénzből megvett, és amúgy borzalmasan túlárazott rendszer minősége igenis közérdek.

"Mert ezt mintha (véletlen!) kihagytad volna a timelineodból ;("

Lényegtelen a téma szempontjából, ezért nem szerepel a timeline-on. Nem titkok kiszivárogtatásával vádolják, hanem "hekkeléssel".

"Továbbá igen, már elmondtad az álláspontodat: lehessen mindent előzetes egyeztetés nélkül hekkelgetni, fuck jogbiztonság & shieet o/"

Továbbá: hazudsz, ahogy szoktál.

"Lazán kapcsolódik: bökjed csak ide a saját és munkáltatód IP-it, kthx"

Nem kérted elég szépen.

>Lényegtelen

Hmm de ismerős ez. De honnan is? Ja megvan.

szánalmas vagy, gabu.

Persze, lehessen hekkelgetni, mindenkinek az igazságérzete szerint, de mindent ám, ajtózárat, autókat, táskákat a villamoson, atomerőművet, bármit.

inkább az 'etikus hackerek' mint az orosz kormány.

Ez innentől egy eugenika thread.

gondolod?
az orosz kormány eugenetikával (is) foglakozik, nem csak amrikai választások, magyar minisztériumok és német nagyvállalatok krekkelésével?
meg hatalmas méretű dezinformációval?

^képünk nem illusztráció.

Ja csak ők, a másik oldal csupa szent ember.

A CNN amerikai hírtelevíziótól három munkatársától vált meg, mivel azok hamis orosz vonatkozású történetet közöltek.

Vagy

http://polusonline.blogspot.com/2016/08/elkepeszto-hirhamisitason-kaptak-vilag.html

Igen, ez a különbség. Arrafelé a hazugságba belebuknak, errefelé felfelé buknak a hírhamisítók.

viszont azokat kirúgják, ha észreveszik,
ezeket meg az orosz kormány megdicséri.

nem mind1

valamint amióta a magyar állam központilag nyilvántartja a szig-eket, és ellenőrizni is tudja helyben és azonnal, megemelkedett az értéke a szig. sz., név, lakhely... adatbázisoknak.

+ az 'etikus hacker' meg magyar volt, - legalábbis magyar állampolgár :) - nem pediglen yenki.
hacsak nem egy ilyen adatbázisból csinált magának személyit, lakcímkártyát, bankkártyát meg ilyesmit:)))) de az a gyanúm, akkor nem szívózott volna a bkk-val

> A TechCrunch szépen leírta: "Hungarian hacker arrested for pressing F12"

Elsütőbillentyű.

(x)

Jogos.

(épületes marhaságnak tartom, és úgy gondolom hogy jobb 1x válaszolni és belinkelni, mint sokszor válaszolni. Majd legközelebb lesz (x) is.)

def megoldotta

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Pont leszarni való h fair v. sem! Ez a legkevesebb. Mindenféle értesítés nélkül is totálisan igaza lenne. Akik súlyos milliókért ezzel az izé..vel álltak elő, azok nem érdemelnek fair eljárást. Élő adásban kellett volna bemutatni, hogy mennyire primitív az egész...még itt értesítgetni őket, meg kivárni míg reagálnak...anyjuk faszát.

Sőt csinálni kellett volna valami scriptet, amivel az is meg tudja törni, aki azt se tudja mi az a weboldal és még nagyobb kárt okozni. Az lett volna a legjobb.

Semmilyen törésről nincsen szó! Csak Neked meg a főnöködnek vannak ilyen tévképzetei. Ha a nyitott ajtón betéved valaki az nem betörés. Ilyen primitív rendszert nem lehet megtörni, mivel semmi nem állt ellen. A rendszerének a megtöréséről olyan valaki beszélhet elsősorban, aki mindent megtett annak a rendszernek a védelmében, de minimálisan a legelemibb dolgokban nem vétett olyan orbitálisat, mint akik ezt E-ticketet legyártották.

Az ajtó csukva volt, legfeljebb a zár volt rettenetes primitiv. Attól az még betörés.
De mondok neked még meglepőbbet: az atm nyilásán ottfelejtett pénz zsebre rakása is lopás és elvisznek érte a rendőrök, pedig annál könnyebb pénzszerzés nemigen van. Nemhogy ajtó, de semmi sem védi azt a pénzt, mégsem teheted el.

Nincs a btk-ban olyan kitétel, hogy "mindent" meg kell tenni a rendszer védelmében.

Milyen főnököm? Jól vagy? :)

Különben valóban kriminális ez a hozzáállás itt a hupon, hogy "ami nincs leszögezve az lopható, és dikkmán bíróúr ez nem is lopás, hát csapjon belém a devla"

Valóban döbbenetes, hogy mennyire nincsenek tisztában alapvető törvényekkel sem.
(azzal már nem is akartam sokkolni, hogy ha a szomszéd reggel munkába menet konkrétan tárva-nyitva felejti az ajtaját és ezt látod, akkor sem mehetsz be)

De vigyázz miket irsz, nehogy neked is hirtelen főnököd, meg gazdád legyen :)

A legmókásabb eleme eme jelenségnek, hogy ezek a szerencsétlenek ("hasznos idióták" néven találhatóak meg a szakirodalomban) feltettek egy ubuntut, elolvastak két hamis 24/index cikket, de szívük szerint már személyesen újraírnák a Btk. IT-re vonatkozó részeit, legalábbis.

muh poor 18yo babbies ;((((

Ráadásul az etikus hekkerség az nem valami jolóság, hanem egy szakma, és a szakma művelőjének ismernie kell a jogi hátteret. Azért megnézném a magát etikusnak gondoló hekker fejét , amikor a srác okosházában meghekkelné valaki a tűzhelyét, és úgy demonstratíve melegítene egy kicsit. Vagy az autó zárjának ugrókódját pentesztelné valaki.

Mindenki hüjjje, csak te vagy helikopter, igaz?
De legalább jól elbeszélgetsz magaddal. Az is valami! Kuporgasd össze a sékeleidet, aztán aliázzál oda ahol sok van belőled!

.

Sajnálattal olvasom az ATM-es tapasztalatod, de h elvittek a rendőrök még nem jelenti azt, h szakértőként hivatkozhatsz a BTK-ra. Meglepetésről meg akkor lehetne szó, ha a bugrissági faktor 0.9 alá menne. De ettől nem kell tartani.

úgy emlékszem gondosság/gondatlanság-ként hivatkoznak ilyesmire, tehát hogy legalább törekedj az elvárható minimumot hozni pl

Mondjuk, engem érdekelne, hogy tényleg "zár"-nak számít-e az url...
Jegyrendelés közben a macska ráugrik a billentyűzetre, a kurzor pont az url-en van, szám átíródik... a kérdés, ki a hibás, én, a macska, vagy a bkk? És elvárható-e, hogy tudatlanul még a rendelés előtt agyoncsapjam a macskát, hogy nehogy véletlenül feltörődjön a zár? (és elvigyenek)

Az ATM, ha nem veszed el a zsét, simán visszahúzza a belibe a bankókat... :-P

Normál esetben igen. Máskor meg nem, jópár embert bevittek (akarom mondani éjszaka a tsystems rárugta az ajtót) már magyarországon emiatt, olvass utána.

Tévedsz, súlyosan!

"hacking without a customer’s explicit permission
and direction is a crime."

Certified Ethical Hacker All-in-one Exam Guide

Hát hogyne....Én beszéltem hackingről? (Azok igen akiknek érdekük hackinget kiáltani, h leplezzék a saját hibáikat.)
Egyébként meg pont leszarom, h egy hekkergájd h próbál magának jogot formálni arra, h megmondja a világnak, h mi etikus meg mi nem.

Hiszen itt vagy nekünk te, aki megmondja mi etikus. (Egyébként érted az idézett könyv cimének minden szavát? Pont egy fórumvitéz btk elmélkedései)

Csak h én ezt autentikusan megtehetem és nem mint hivatkozott tekintélyt kell elfogadnod.

Nem a guide mondja meg - bár a CEH Exam Guide nem amatőr hülyegyerekek munkája - hanem a törvényi háttér. Írásbeli szerződés nélkül NEM VAGY etikus hekker. Ez grey hat, ami büntetHETŐ, a megtámadotton múlik, hogy kezeli.

Ha valaki elmenne a lakásodhoz "etikus" hekkelni a zárat, vagy akár csak az otthoni wifit, rögtön más lenne a leányzó fekvése.

"Nem a guide mondja meg "

..ja kérem, akkor nem arra kell hivatkozni!

Tehát várom akkor annak prezentálását, hogy az etikus viselkedés miért nem etikus...
Azaz viselkedhet-e a hekker etikusan, ha nem etikus-hekker? :-DD

ovoda

na azért szép is lenne hogy ha kizárólag azon múlna egy-egy tett megítélése hogy lett-e belőle botrány.
pl normális ember számára a gyilkosság no-go kategóriás cselekmény és nem változtat a helyzeten hogy véres kézzel rajtakapják az illetőt vagy csak évek múlva derül ki.
A tettet kell megítélni nem pedig a körülményeket amik övezik. a shitstormnak ami elszabadult nem kéne kihatása legyen a tett megítélésére!

Szerinted milyen felelősségvállalásra lehet számítani egy olyan világban ahol mindenki a botrányfaktortól függően cselekszik csak? Ha kellemetlen. Pont elég hogy félelemtől vezérelve meg a saját seggének/székének védelmében cselekszenek szerencsétlen emberek. nem ezt kéne szorgalmazni&bátorítani.. Pláne hogy általában ez kaotikus önpusztító rendszerek kialakulásához vezet, legyen szó államigazgatásról vagy céges világról stb.

Mennyivel jobban megy azokon a helyeken ahol kordában&minimális létszámon tudják tartani az efféle gondolkodásmódú embereket..

Rosszul látod. Ha pl az általam felügyelt rendszerek bármelyikében valaki hibát találna és privátban engem értesitene, akkor valószinűleg megköszönném, vagy akár meg is jutalmaznám. Ellenben ha az értesitésem után pár órával szaladna a sajtóhoz és pontosan kiadná, hogyan lehet feltörni a rendszeremet, akkor biztos lehetsz benne, hogy pénzt nem sajnálva mindent megtennék, hogy leültessék, vagy irdatlanul megfingassák.

Úgyhogy igen, nagyon is számit, hogy méltányosan jár-e el, vagy csak 5 perc hirnevet keres magának.

Nem tort fel semmit es nem is adott ki olyan infot amivel fel lehet torni gepeket.

Ezen kivul, ha olyan programot irsz ami egy foshalom, akkor szerintem kuss a neved es minel elobb javitod vagy ha nem megy, akkor keresel egy masik szakmat. Nem pedig feljelentgetsz.

Majd te megmondod, hogy mit csinálhatok a rendszereimmel és kit jelenthetek fel, amikor törvényt sért. Nem tévedtél el egy picit? :)

Más értetlennek is javasoltam már: törögess internetes rendszereket kéretlenül, jelentgesd a felfedezéseidet a sajtóban. Csak jól végződhet a történet, sok sikert hozzá, hajrá! :)

azért van az hogy mára valahogy mind a bkk, mind a t visszavett az arcából, mert a bkk az ugye egy állami vállalat, és akikkel most ujjat húzott, az a nép.

a t-nél pedig pluszban ott van a piac. ami egyből 0-ra irta a népszerűségét a facen. kezdetnek :)
ami kihat majd a megrendeléseire, ami pedig a tulajdonosokra..

már most látható, hogy a deutsche telekom is megsínyli.
vagyis hátrább az agyarakkal:)

Miért én szerinted állami vállalat vagyok, vagy mi közöm van nekem ezekhez a marhaságokhoz amikor ideraktál?

A t azért vett vissza az arcából, mert iszonyat béna rendszert adott ki a kezei közül, igy nem nagyon ugrálhat és nem azért, mert legális volna felnyomni bármilyen rendszert. Ha mondjuk egy bonyolultabb XSS-el törik meg, ami már nem triviális, akkor biztos lehetsz benne, hogy ők se sajnálnák a pénzt, hogy rendesen megszivassák a gyereket.

'Majd te megmondod, hogy mit csinálhatok a rendszereimmel és kit jelenthetek fel, amikor törvényt sért.'

mert ahogy mindenkit, egyszer, - v. többször is - utolérhet valami amitől neked is vissza kell venned az arcodból, és más javaslatára kell(ene) halhatnod :))
ez a közöd hozzá.

Ne ijesztgess! Miért mi lesz, ha feljelentek valakit, aki feltöri a rendszeremet? Megütöm a bokámat? Ez egyre jobb lesz :)

én?

nem ijesztgetlek, csak felhívtam a figyelmedet a körülötted zajló eseményekre.

Ja, értem, már majdnem azt hittem nem szabad feljelenteni azt aki feltöri a rendszeremet és azonnal szétkürtöli a sajtóban, hogy hogyan kell. Igy azért már nyugodtabb vagyok :)

Szabad, csak még előtte töröld az FB accodat, ha kedves a céged IRL arculata.
Tanulj a más kárából!

"törögess internetes rendszereket kéretlenül"
Feltores meg mindig nem volt. Gondolom nem vagy informatikus ha ennyire kevered a dolgokat. Ami nem is problema. :)

"Majd te megmondod, hogy mit csinálhatok a rendszereimmel és kit jelenthetek fel, amikor törvényt sért. Nem tévedtél el egy picit? :)"
Javaslat volt inkabb, mert rosszul allsz a dolgokhoz. Tehat azert, mert esetleg egy balfasz vagy nem feljelenteni kell, hanem valtozni.

> Gondolom nem vagy informatikus ha ennyire kevered a dolgokat.

Ingyen pénzt/terméket kivenni egy rendszerből nem számít feltörésnek. A root jogokkal futtatott mc számít annak. Nem vagyok informatikus.

open btk.txt
CMD+F root joggal futtatott mc

0 hit

Kevin Mitnick is CSAK AZÉRT kapott 5 év börtönt kegyelemből, mert
nem pénzért csinálta.
A bíró szerint, ha anyagi haszonszerzés vezérelte volna a Boeing,
Nokia, Fujitsu, Motorola, Sun Microsystems stb. gyártók oldalainak feltörésénél, akkor már csak 150 év és szabadulna.Tudod yenkiknél összeadják az elkövetéskor használt módszereket,
aztán beszorozzák vagy 8-al.
Azért jönnek ki ilyen 120 éves ítéletek, ami magyar szemmel elképzelhetetlen.
Amiért nálunk max 5 évet adnak fiataloknak.

Sebezhetőségt használt ki. Legalább egy szakmai fórumon ne terjessüzk már azt, hogy ez nem törvénysértő. Bármelyik pentester képzés legelső előadása jogi alapismeretekkel kezdődik. Az nem etikus hekker, aki írásbeli engedély nélkül dolgozik.

+1

A nagy cégek bug bounty programjainak résztvevői is törvényt sértenek?

Ott van engedelyed.

Ott vannak szabalyok.

https://bounty.github.com/#rules

(Don’t publicly disclose a bug before it has been fixed.)

Most azon kívül h ezt fennen hangoztatod itt, van valami alapja annak, h miért kéne a pénzelt etikus hekkerek önérdekű madárnyelvét definitíve elfogadnunk? Bizonyára rontja a boltot a pénzelt etikus hekkerek számára, h az etika nem írásbeli engedély függvénye.
Itt a "sebezhetőség" fogalma teljes mértékben tisztázatlan. Ennek kihasználására való hivatkozás egy olyan blődség, amit kb az etikus-hekker orrfolyamot kitalpalóknak rághatnak a szájába.

^remek aranyköpés-gyűjtemény

Szerinted sem lehet etikus a hekker, ha nem etikus-hekker?

legyszi ne csak a magyaridokbol meg origobol tajekozodj. csillioszor le lett irva hogy egy hetvege eltelt a ketto kozott.

Egy egész hétvégét? Ejha. Én úgy hallottam, hogy orbánisztántól nyugatra 90 napot szoktak várni a bejelentés a nyilvánosságra hozatal között.

és?

legyszi ne csak a magyaridokbol meg origobol tajekozodj. csillioszor le lett irva hogy orbanisztántól nyugatra a srácnak munkát ajanlottak volna fel, es nem pedig feljelentik

Hogyne. Majd azért olvassál egy picit bele pl a bounty programok feltételeire és gyűjtsél be jó sok bounty-t, miközben egyszerre értesited a céget és a sajtót a problémáról :)

Szép nagy öngól, origó és magyaridők, mi? :)

https://hup.hu/node/154459?comments_per_page=9999#comment-2123884

Ebben az a legszomorúbb, hogy keleteurópai programozók készítik több hires vagy hírhedt cég szoftwereit és az állam nem képes felhajtani két-három embert, aki egy normális munkát elvégezzen.
Erre a válasz is egyszerű, nem fizetik meg az embert. Az elköltött pénz olyanok zsebében landol mint Mészáros vagy Vajna (semmi személyes, a két név csak példa) és nem azokéban akik a munkát elvégzik.
Ez a BKK semmiség a román egészségi kártyához képest, ami már 4-5 éve, mióta beindult, hetente omlik össze és senki nem tudja/akarja rendbetenni.

Isten hozott a Balkánra, a bolygó egyik legkorruptabb térségébe.

Magyar EÜ rendszerekben is vannak csodák, és még lesznek is, sőt...

hát mert nem a pénzen múlik a dolog, én például akkor se dolgoznék ezeknek a geciknek, ha a mostani fizetésem dupláját adnák meg, pedig most sem panaszkodom.

Egy férfi odamegy egy nőhöz
- Mondja hölgyem, lefeküdne velem 1 millió dollárért?
- 1 millió dollárért?! Igen, persze!
- És húsz dollárért?
- Minek néz maga engem????
- Azt már megbeszéltük, hogy maga micsoda, most már csak az áron vitatkozunk...

:-D

...nem képes felhajtani két-három embert...Erre a válasz is egyszerű, nem fizetik meg az embert...
Egyik feltételezésed sem felel meg a valóságnak. Igenis megtalálják azt a 2-3 embert. Nagyon keresniük sem kell, hiszen ott vannak a közvetlen közelükben. Családon belül, ha a családban nincs elég ember, akkor ott a szomszéd, ráadásul neki is vannak családtagjai. És a probléma máris megoldást nyert. Ráadásul meg is fizetik őket. Sőt, túl is. Milliók, estenként milliárdok tűnnek el fizetődnek ki. Erre mindent lehet mondani, csak azt nem, hogy nem fizetik meg az embert rendesen. Még akkor is marad egy szemmel jól látható összeg, ha 30~60%-át vissza kell osztani.

Ezek után komplett kamikaze, aki a kliens alkalmazást felrakja a telefonjára, és várhatóak kisebb robbanások is leolvasáskor.

Botrányos kivitelezés, ráadásul semmi értelme az egésznek. Bérlet helyett telefont vehetek elő a személyi mellé. Ennek minimális értelme pont, hogy jegyeknél lenne, nem bérletnél, hirtelen eszembe jut, hogy nincs jegy/lejárt a bérlet, megveszem egy útra, és kész, még azonosítással sem kellene szórakozni.

Amúgy azt hiszem, illetve nagyon remélem, hogy ez az eticket nem az az eticket, amivel 15 éve szenvednek lassan, és tényleg milliárdokat költenek rá. Az elméletileg olyan valami lesz, mint az Oyster, és mindig jövőre kezdik telepíteni. Szerintem odafent rájött valaki 1-2 hónapja, hogy ugyan a "bűnös város" szisztematikus szivatására jó volt a tökölés, de a nagyvezír prezentálni akar a külföld felé, rohadt gyorsan össze kell dobni valami eticket szerűt, mert kiröhögnek, hogy 2017-ben papírfecnivel szaladgálunk. Most majd röhögnek máson.

Az megvan, hogy egy rakás bérletes az okostelefon átlátszó tokja alá rakja be a bérletét, és mutatja fel? Na, most ezt sikerült neten vásárolhatóvá tenni, ami előrelépés lenne, de a megoldás gyakorlatilag veszélyes a BKK-ra.

Az Oyster-hez hasonló pedig ez lenne, legutóbbi tervek tudtommal:

http://rigo.bkk.hu/

Egyébként ilyen rendszerek nincsenek már NFC-s telefonokra, vagy valami hasonló? Megint egy kártyát vinni, tudom, vannak olyan tokok, amibe becsúsztatható hátulra 2-3 kártya, de én purista vagyok ebben.

(Politikai szálra: el ne hidd már, hogy ez tényleg Budapestről szól, ez csak mégegy lehetőség a pénzlopásra, elnézést, megmentésre.)

Igen, sokan csinálják, mert ott nem baszogatnak azzal, hogy hol a személyi. Lásd indexes cikk, hogy telefonnál meg igen, mert ezt könnyebb hamisítani/megosztani. Aztán lehet, hogy majd itt is leszoknak róla.

NFC-s helyett én sokkal jobban örülnék olyan megoldásnak, mint Londonban: beregisztrálom a paypasses bankkártyát, és viszontlátásra. Innentől telefonnal is megy, ha van olyan bankkártyád.

Ó, a jó emlékű SIRALOM :)

Bármire ráillik, ami grandiózus állami projekt... :D

Nem kell regisztralni a kartyadat hanem csak hasznalni, fizeteskent fogja lekonyvelni, akkor kell csak regisztralni ha latni akarod merre jartal, ez ceges kartyanal erdekes csak ugye, maganszemelynek felesleges, en is csak siman a telommal fizetek aztan kesz

Amugy az is lehet h akkora hatalmas osszeget kapott erte a fejleszto mint a vizes vb kabalafigurajanak a tervezoversenyen a gyoztes (550khuf + afa) amiert egy joerzesu fejleszto/dizajner le se ul hogy nekialljon, de egy szomszed verpistike mar megorul es tolja ki magabol a hulyesegeket

http://index.hu/tech/2017/07/15/barki_feltorheti_a_bkk_elektromos_jegyvasarlo_rendszeret/

a cikk szerint nem ellenőrzik a felhasználó jogosultságát és hozzáférhető bárkinek a személyes adata, okmányának száma, jelszava

A Btk.-ban olyan nincs vételenül, hogy Gondatlanságból, foglalkozás körében elkövetett személyes adat hűtlen kezelése?
nem ártana...

Biztos, hogy van, de az "elvárható gondosság" nem egy szilárd dolog, bíróságon szerintem ügyvéd és bíró függő, hogy kit akasztanak.

Szerencsére már nem sokáig.

Az idevago EU szabalyozas. Nagyon sok nagy cegnel be vannak tojva emiatt.
http://ec.europa.eu/justice/data-protection/
https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

Mennyi a BKK eves bevetelenek 4%-a? A kasszat arra talaljak...

nem a BTK, van egy EU-s törvény: "GDPR"

"Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról"

- amely itthon 2018.05.25. napján lép életbe és abban pontosan le van írva a felelősség és
a incidens esetén a büntetés is pl: közigazgatási bírság, amely a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának 4 %-át teheti ki.

Ez alapján - ha majd hatályos lesz - egy ilyen "baki" simán vizsgálat, bírság - kártérítésig lehet vinni...

Majd meggondolják, hogy milyen "haveri" cégnek adnak ki olyan munkát, ahol szamélyes adatkezelés van..

„Majd meggondolják, hogy milyen "haveri" cégnek adnak ki olyan munkát, ahol szamélyes adatkezelés van..”

Most: Havercég „megcsinálja” jó pénzért a munkát a BKK, azaz az előfizetők pénzéből. Sikerül, ahogy sikerül. Ha javítani kell a szoftvert, akkor azért újabb pénzt lehet felvenni. Havercég jól jár, adófizetők fizetnek.

Jövőre: Havercég „megcsinálja” jó pénzért a munkát a BKK, azaz az előfizetők pénzéből. Sikerül, ahogy sikerül. Ha javítani kell a szoftvert, akkor azért újabb pénzt lehet felvenni. Havercég jól jár, adófizetők fizetnek. Ha valaki bepereli a BKK-t, a fenti törvényre hivatkozva, akkor a BKK-ra kiróják a büntetést, amit a befizet az adófizetők pénzéből. A javítást pedig megrendeli a havercégtől. Havercég még jobban jár.

Mit kell ezen meggondolni? Nincs olyan, hogy a BKK pénze, csak olyan van, hogy az adófizetők pénzéből (költségvetési pénzek, jegybevételek) a BKK-nak juttatott pénz. Ha a BKK veszteséges lesz, akkor a veszteséget is az adófizetők pénzéből kell finanszírozni.

Az idézett törvény a nem állami tulajdonú vállalatok számára jelent csak veszélyt. De csak akkor ha nem havercégek.

nem állítottam, hogy csak állami tulajdonú cégre vonatkozik, SŐT...
és az se egyszerű munkamenent, amit leírtál, mert egy projektre egyszer van pénz - nem lehet kisírni pót költégvetést..

A törvény mindenkire vonatkozik, aki személyes adatot kezel: google inc.-től a XY Vízmű kft.-ig vagy a könyvelőkig.
pld. nem tudom, hogy fog megfelelni, az a könyvelő prg, ami pl. DBF-ben tárolja titkosítás nélkül az adatokat ???

> egy projektre egyszer van pénz - nem lehet kisírni pót költégvetést..

Te ebben biztos vagy? Én bizony nem ezt látom.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Eleg megnezni az allashirdeteses topicban(niif/kifu) "magyarorszag legnagyobb openstack clustere" promot. 1x megkaptak palyazati penzt, elkoltottek. Nagyjabol fut valami. De 500-as erroron kivul mast nem latsz belole. Most, hogy vizsgalat van majd lehet valaki kezd vele valamit, de miota megepult hasznalhatatlan. Tehat eddig nem tortek magukat. Hozza sem nyultak projecthatarido utan :)

És ez ellentmond annak, hogy szerintem lehet ugyanarra a projektre többször is pénzt kapni? Abból, hogy kap még 1x, 2x, 10x pénzt, nem következik, hogy dolgozni is fog a 2., 3., 10. pénz után. (Nyilván valaki fog, hisz le lesz papírozva - márpedig a papírt is gyártja valaki - de az nem kifejezetten tekinthető értéktermelő munkának.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Igen, ez is a gyakorlat része.

Azert erre nem vennek merget. Ha jol tudom mi is hasznaljuk a felhojuket az elso tesztek ota es eleg aktivak voltak a hibabejelentesekre. Legalabbis kollegatol ezt hallottam, nem az en projektem.

En ugy tudom eredetileg arra is keszult, hogy diakoknak legyen vm, ha akarnak. Van 2 accountom, amivel allitolag be lehetne lepni. De csak hibakodok variaciot latom.
Persze ezen kivul lehet van mukodo resze. Csak ugy tudom ezt is beigertek.

"egy projektre egyszer van pénz": ja, mint a vizes vb-n

Egy offline szoftver es egy online szolgaltatas tamadhatosaga es ugymond vonzosaga egeszen mas. Titkositas megvalosithato, legalabbis reszben, filerendszer szinten, ami legalabb az adathordozo elvesztese ellen ved. Masreszt egy konyvelonel jellemzoen nyilvanosan amugy is hozzaferheto adatok szerepelnek es ugy egeszben uzleti titkot kepeztek. Kivetel lehet a maganszemelyek adatai, bar akkor is a szolgaltatas nyujtasahoz elengedhetetlenul kello adatok.

" Nincs olyan, hogy a BKK pénze, csak olyan van, hogy az adófizetők pénzéből (költségvetési pénzek, jegybevételek) a BKK-nak juttatott pénz. Ha a BKK veszteséges lesz, akkor a veszteséget is az adófizetők pénzéből kell finanszírozni."

Konkrétan érdekes lenne, ha a vezetők, döntéshozók fizetése nőne/csökkenne arányosan attól függően, hogy jól megy a cégnek, vagy sem. Bár csak létezne valami szervezet ami ezt betartatja velük.

+1

Fletó megbízott egy buzit azzal, hogy dolgozza ki ezt a rendszert. A buzi el lett hajtatva azért mert buzi, Fletó azért, mert Fletó - a korrupcióellenesség jegyében, kéthetes rendbetétel ígérete mentén.
De lehet, hogy nem is így volt, csak nagyot álmodtam.

ez a "buzi" ki is volt?

és a buzisága miatt volt szar, vagy amúgy is direkt szarnak csinálta?

Arra tippelek, hogy a szándék az volt, hogy központilag válasszák ki a lojális pártkatonákat az üres pozíciókra.

https://www.hrportal.hu/c/felszamoljak-a-szetey-rendszert-20081027.html

akkor nem értem @lx-et, miért volt fontos hangsúlyozni, hogy buzi.

Mert azzal (IS) basztatták.
Semmi okom nem volt utólag finomítani az érvrendszert a parafrázisban.

Igen ez is a pakettben volt, de a fenti felvetés (eredményalapú premizálás) kapcsán nem erre céloztam, hanem erre:

A kormányzati teljesítmény értékelő rendszer lényege, hogy szoros kapcsolatot teremt az értékeltek által végzett munka minősége és mennyisége, illetve a kifizetett jutalmak között, és megteremti a kötelező visszacsatolást főnök és beosztott között. A rendszerben a vezető és a beosztott közösen határoz meg célokat, és közösen értékeli, hogy azok valóban megvalósultak-e. "Vezető és vezetett között tehát nemcsak lehetőség van a folyamatos visszacsatolásra, hanem kötelezővé is válik, hogy a főnök szemtől szemben véleményt formáljon kinek-kinek a munkájáról" - mondta Szetey Gábor.

https://www.hrportal.hu/hr/januartol-indul-a-kormanyzati-teljesitmeny-ertekeles-20061129.html

Magától értetődik, hogy a csinovnyikok nagytestvért kiáltottak, ez szervezetelméletileg így természetes.
Az érdekesebb (de az is természetes), hogy a korabeli konstruktív ellenzék ezt IS támadta - a nagytestvérezés és buzizás között alterálva.
A méltán lejtőn álló Fletó meg nem mert beleállni, mert úgy hiányzott neki a végrehajtásban a passzív vagy akár aktív rezisztencia lehetősége, mint ablakos tótnak a hanyattesés.

Ma meg ilyesfélét gondolni is minimum sorosbérencség volna.

De nem mondom, hogy ebben nincs semmi pozitív: pl. ha Mikszáth feltámadna, nem érné kulturális sokk.

Úgy tudom, hogy ez a teljesítmény-értékelő rendszer valamilyen formában továbbél most is a közigazgatásban.

Ami érdekes számomra, hogy a köz- és államigazgatási szervezetek között nagyon nagyon különbség van az elvégzett munka minőségében, olyan, mintha nem lenne egységes minőségbiztosítás mögötte.
Valahol azt látom, hogy szervezett, jó és folyamatosan fejlődő infrastruktúrával (NAV, okmányirodák), valahol még mindig a Kádár rendszer köszönt vissza (egészségügy, földhivatalok).

"Úgy tudom, hogy ez a teljesítmény-értékelő rendszer valamilyen formában továbbél most is a közigazgatásban."

Lenn a végeken.
El tudod képzelni, hogy a számonkérendő pénz felével elszámolni képtelen, de legalább az operatív munkát (IS) akadályozó KLIK-ben a fejméreten kívül bárkit bármire mértek?

Teljesítményértékelésre van külön rendszer (emlékeim szerint egy .net-es remekmű) közmunkások kezelik mert az osztályvezető nem ért hozzá vagy nem akar. Más kérdés, hogy mondjuk IT-nél ha eltérítenek se keresed meg amit normális helyen adnának. De eltéríteni meg amúgy se fognak mert nincs rá pénz (ahogy ITra sincs)

+1

(nem mintha újat mondana az ittenieknek, de a fenti károk listájához:)

... tehát annak, aki regisztrált, és olyan jelszót használt, amit máshol is használ, annak most sokmindene nyitva van gyakorlatilag bárki előtt. Csodás. Tényleg reménykedek még, hogy az app is okozott valami jó kis adatvesztést a telefonokon vagy hasonló, és akkor ezzel sikerült is überelni az úszó EB állványzatát, amit ugrótoronynak mertek nevezni.

Nemzetközi sajtóban megjelentünk már?

elektromos

elektromos

--
L

gőzhajtással többre mennének? :)

BKK humble bundle

Második jó hozzászólás :DD
--
"Sose a gép a hülye."

Párom azt mondta becsületkassza, ami igazán "demokratikus".

Én őszintén nem értem miért így próbálták megoldani, miért nem egy NFC-s megoldással próbáltak előrukkolni. A megoldás kísérőjel lehetne ugyanazon az elven működő nfc-s kártya azoknak, akiknek nincs telefonjuk, és hurrá, le lehetne váltani a klasszikus jegyrendszert (ami fasza dolog lesz, most, hogy nemrég állították üzembe a megannyi új jegyautomatát. Nem kellett volna összehangolni ezeket?

Persze tipikus, hogy ilyen választ adnak, miszerint: "A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni."

Próbálják befolyásolni. Nyilván a próbálkozások miatt szar a rendszer :)

erdekes, liszabonban mukodik, NFC-s feltoltheto "jegyet" kapsz barmleyik jegyautomatabol....
ha van jegyed es csak fel kell tolteni, olcsobb a jegy 50 centtel....

Mert ez már hat éve készül milliárdokért, egy német cég csinálja. Ez csak valami pár hónapos, "ne égjünk be a vizes vb-n a papírfecnikkel" project.

> "ne égjünk be a vizes vb-n a papírfecnikkel" project.

Hát most égünk mással :)
Különben is, feltűnt volna a fecni a sok egyéb dolog mellett, ami miatt volna okunk égni?

A javítás előtti állapot - amikor a vásárló mondhatta meg, hogy mennyiért veszi meg a jegyet/bérletet - az a BKV/BKK tesztje volt, amivel az utazóközönséget szondáztatta mg, hogy szerintük mennyit ér a szolgáltatás. És miután kiderült, hogy az utazóközönség nagy számban az eredetileg közponilag beállított áron vette a jegyet/bérletet, nyugodtan hátra lehetett dőlni, hisz jól lőtték be az ár/érték arányt.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Illetve ennél jobb indikátora nincs is annak, hogy Magyarországon a korrupció tényleg csak nyomokban fedezhető fel, ha egyáltalán. Már a bliccelés korábbi legfőbb pódiuma is a tisztesség színpada lett.

Az lesz a csoda ha eddig még nem bányászta ki senki a useradatokat belőle.

Az egyik facebook csoportban írták, hogy simán le lehet kérdezni az ÖSSZES felhasználó által megadott user/password/szemigszám kombinációt, plaintext-ben, kódolatlanul.

Tehát ha véletlenül olyan jelszót adtatok meg itt, amit máshol is használtok, akkor érdemes lenne jelszót cserélni...

így gyűjtenek jelszavakat az oroszok, ha már kipaterolták őket a vizes vb-s közwifiből :)

A NER-ben nincs okunk rá, hogy titkaink legyenek egymás előtt.

https://www.youtube.com/watch?v=KqWYlb7_t7U

sed 's/NER/MO/g'

Témába vágó videó a programozói etikáról, avagy: ha a programozók nem csinálnak "céhet" maguknak, akkor hamarosan valami tökkelütött bürokrata teszi ezt meg, és azzal mindenki nagyon rosszul jár majd.

GOTO 2017 -- The Scribe's Oath -- Robert "Uncle Bob" Martin

https://www.youtube.com/watch?v=Tng6Fox8EfI

Én is ezen gondolkozom.

Miért nem adnak ki a nagyobb IT cégek egy közleményt, hogy ez így botrányos.

Mert a T eleg sok uzletagban erdekelt es hat nem biztos hogy egy ilyen kozlemeny megeri azt a par millio elvesztett bevetelt...

A T a hibas BKK szerint. :-/

Szerintem a nem megfelelo gondossagot kimeriti, hogy szerver oldalon nem validalnak inputot...

http://index.hu/tech/helpdeszka/2017/07/17/bkk_e-jegyet_vett_azonnal_valtoztasson_jelszot/

Épp akartam írni, hogy ez sok mindent megmagyaráz :))

"a rendszert kifejlesztő és működtető T-Systemst"
Ez komoly, hogy a T-Systems követte el?

A "T" kb szítok szó fejlesztői és üzemeltetői körökben, de ez még így is durva lenne...

Átjáróházból is lehet kolostort kialakítani, de spontán módon előbb lesz belőle kupleráj.
Beérett?

esélyes, hogy igen.

miért ők csak fővállalkozók, alattuk ki tudja ki követte el..

azért mert nagy cég, nem jelenti azt hogy minden ami kezükből kimegy profi. sőőt! ellenkezőleg a bürokrácia fellegvára lehet, mire ott végig megy a legkisebb hibajavítás is.
Gondolom senki annál a cégnél nem érzi magáénak a BKK jegyvásárlást. A vezetőknek meg holt mind1 mivan, a BKK úgy is fizet, meg úgyse értik mi az hogy "plaintext".

(Ha már public program pl. bubi telefonos appját is egy átlag hobbi programozó jobbat dobna össze.)

Nem jelenti, hogy ami kimegy a kezük alól az profi, de erősen megrenditi azt az elképzelést, hogy a szomszéd pistikére sózták rá a feladat és átjátszottak neki sokmilliárdot érte. Ha a bkk a T-től rendelte meg a rendszert és ezt a szemetet kapta érte, akkor ott nem valószinű, hogy a bkk a hibás.

Az erre költött összegnek a töredékéért tudnak magán cégek csináltatni maguknak normális működő megoldásokat, akár T-vel, akár mással. Valahogy mindig az állami megrendeléseknél van a gond. Ez azért elgondolkoztató...
De persze ha a böllérkés jó végén állsz, akkor a disznótor is lehet jó móka (már akinek!)

hidd el hogy nem csak az állami megrendelések tudnak gány hányadék használhatatlan foshalmok lenni :).
Főleg a sikerre ítélt projektek között nem is kell keresni a hasonló példákat..

Jól használod az automatikus tárgyeset :)
Egyébként a bkk _is_ hibás. Az átvett rendszert ugyanis illik tesztelni, mielőtt élesbe kiteszed. Pláne ha ez nem jóskapista vebsopja, hanem.
Na ez nem volt tesztelve...

Mire gondolsz? A megrendelőnek (bkk) kellene penetration test-et futtasson mielőtt átveszi? Érdekes gondolat.
A megrendelőnek azt kell tesztelje, hogy működik-e, lehet-e jegyet vásárolni vele, nem azt, hogy hackelhető-e.

tekintettel arra hogy gondlom a tsystems nem a polcról vette le a rendszert hanem volt egy kezdeti fejlesztés, annak a követelményspeckójába bele kellett volna írni az auditot. csak a sok zseni mánáger biztos kihúzta volna a tételt mert olyan költség amit meg lehet "spórolni" úgyse tűnik fel senkinek a végén, pláne ha értelmes emberek tervezték & implementálták az alkalmazást.
Ha nem volt ilyen követelmény akkor a bkk -is- hibás.

amúgy meg igenis a megrendelő felelőssége is hogy ne egy kalap szart vigyen haza: üzleti etika? lehet feltételezni de nem érdemes rá számítani. a mindenek feletti profitmaximalizálásból adódik hogy a minimumot épphogy teljesítő rendszereket szállítanak, nem pedig "jó megoldás"-t (amit saját magadnak alkotnál)

(főleg használt) autót vásárlás után is elviszed szervízbe hogy megnézze egy hozzáértő.
házat se fotó alapján veszel meg mert a leírás alapján ez jó lesz neked...

Nekem ez már nagyon erőltetett, megpróbálhatod ráhúzni a bkk-ra a vizes lepedőt, de jogilag biztos nem állja meg a helyét ez. Nem a szomszéd pistikét bizták meg, hanem egy óriás multit a rendszer kifejlesztésével, a rendszer elkészült, működik, teljesiti a követelményeket, a userek tudják használni. Hogy egyébként feltörhető (volt, mert már javitották), az abszolut nem a megrendelő hibája, ez a T felelőssége.

Azert business oldalrol mi mindig mindent elkovettunk a T-nel (nem T-Systems "csak" Telekom), hogy terdre kenyszeritsuk a fejlesztok alkotasait. Szenne hekkeltunk mindig mindent frontend oldalrol, ki milyen csomagokat hogyan tud rendelni illetve milyen anomaliakat tud eloidezni (letesitesi helyek idopontok visszatorlesek kedvezmenyekkel trukkozes etc).

Ha talaltunk ilyesmit az nyilvan show stopper volt es ulhettek vissza egy kicsit kodolni. Szoval igenis nekik is van valamennyi felelosseguk.

atg ? :)

Folyamatszervezes, Ugyfelszolgalati igazgatosag, T-Home csapat ;)

1. Az erdőben sétálva egy lepkét megláttam,
Színes szárnyain sebesen szállt.

2. Oda se figyeltem, elkaptam hirtelen.
Színes szárnyain már nem szállt.

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

3. Verdeset szerényen,hogy nyugtassam, s megvédjem
Ujjaim hegyével ápolám.

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

4. Nem nyugszik szegényke, ezért hát mit tegyek,
Tenyerem ütését kiállá.

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

5. Hát te még mindig élsz, nem lehet kislepkém,
Hogy dögölj meg, ököllel verlek én!!!

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

[élt túl sok évet]..

:-D

A pillango projekt elejen valtam meg a cegtol. Ugy hallottam nagy siker volt :D

Ahogy elnéztem mindenhol beszopja előbb utóbb a felső vezetés hogy jó dolog lesz dobozos alkalmazásokból csillaghajót építeni ami mindenkinek mindent -is- megcsinál..
De lehet hogy csak én vagyok túl maradi (sic!) gondolkodású..

Elso beszolasom az volt a projekt kapcsan hogy tan nem egy Siebel-t kene elkezdeni takolni mert ultra szopas lesz.

Ssssss ez joleszezigy volt a valasz. Ok good luck with it. Aztan elkezdtek fogyni a milliardok (igen nem milliok milliardok csak hogy aki nem volt benne az is erzekelje mekkora love egy SAP meretu Brand rendszert customizalni :D )

Azt se ertettem, hogy a mar majdnem mukodo (80%) ICDB-t amit szinten csilliardokbol fejlesztettek miert kellett legyilkolni de valoszinu ez mar politika logika nincs sok benne...

Mindezt ugy hogy korabban mar beszoptak az OSS-el

Uj kozep/felsovezeto _mindig_ szetbasz valamit, amit az elodje vezetett be.
Ez tipikus magyar manager hozzaallas, foleg nemet/skandinav cegeknel.

Borítékok vezetőtől az utódnak, amelyeket krízisben kell sorszám szerint kinyitni:

Boríték 1: MINDENT KENJ RÁM!
Boríték 2: SZERVEZZ ÁT!
Boríték 3: KÉSZÍTS 3 BORÍTÉKOT!

Legalább 40 éves klasszikus, de a legnagyobb multinál is pont úgy működik, mint hajdan a Porfészek MGTSz-nél.

Best :D

ami az icdbbol mukodo volt szorgos indiai kezek azt is nagy sebességgel aprítják azóta :).

Még egyszer kérdezem, milyen felelőssége van a bkk-nak? Jogi?
Mert ti - nagyon helyesen - tudtok pentestet csinálni, mielőtt átvesztek egy munkát, ők meg nem tudtak/akartak? Milyen törvényt sértettek meg ezzel?

Ráadásul SaaS-ban, lehet a forrást se látták, nem is érdekli őket. Kértek egy rendszert x funkcióval, megkapták, működik az x funkció. Ha hibásan működik, akkor a T javitsa ki. Kijavitotta, saján renoméját jól megtépázta a T a balhéval, ennyi a történet.

[előfeltevés:tényleg_leakelt_minden_személyes_adatot]
Jogi, ugyanis az adatvédelmi nyilatkozatukban (http://bkk.hu/apps/shop/bkk_shop_adatkezelesi_tajekoztato.pdf) önmagukat nevezik meg adatkezelőnek (4. pont).

Az 5.3. miatt ráadásul pénzügyi felelősségük is van ("A BKK az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt megtéríti.")

Ráadásul:

Idézet:
Az ilyen fenyegetésektől megvédendő a BKK megtesz minden tőle elvárható óvintézkedést, ennek keretében a rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen és bizonyítékkal szolgálhasson minden biztonsági esemény esetében

Innentől az üzemeltető T-re mutogatás sem áll, mert említés szintjén sem szerepelnek az adatvédelmi tájékoztatóban, sőt az 1.2-es pontban "önálló adatkezelő"-nek titulálják magukat.
[/előfeltevés]

Szerk.: T-re mutogatás kettő pont nulla (bár semmit nem jelent): a shop.bbk.hu által mutatott IPv4 cím az Invitelhez tartozik a RIPE szerint :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ha az ilyen egyértelmű, akkor biztos lesz belőle per, kiváncsian várom.

pont mivel óriás multiról van szó ezért a felelősségek még inkább átláthatatlanok. nem húzok lepedőt senkire, de ha nem értek valamihez akkor a tervezéshez is megbízok szakembert pl építkezés. a kivitelezést meg rábízom egy másik szakemberre. és igyekszem annyira a közelülben lenni folyton amennyire lehet hogy tuti ne legyen gányolás. ez nem jogilag ez vagy az hanem a saját jól felfogott érdekem.

Ha meg segghülye vagyok valamihez és kiadok minden kontrollt a kezem közül akkor legalább olyan szerződést írok amiben kellő eszközök vannak arra hogy az érdekeimet és az üzembiztos működést garantálni lehessen.
Na ebben is van felelőssége a megrendelőnek.

Persze mondhatod azt hogy miért trágyadombot szállít a nagy szoftverház, de ha a trágyadomb megfelel a követelményeknek: alakra, működésre a szagról meg nem kötöttél ki semmit akkor az bizony a saját marhaságod.. hogy elfogadtad és hogy használod is (nem kevés $ért). a cég az cég: a leírt elvárt minimum követelményeket jó esetben teljesíti.

Ennek az eldöntéséhez azért ismerni kéne a specifikációt.

Az ügyfél valamit kér, a fejlesztő valamit szállít. Jó esetben amit az ügyfél kér, azt teljesíti.

Ha az ügyfél nem kért valamit, akkor elméletileg az a jó, ha a fejlesztő nem implementálja azt - viszont nem ártana felhívni a megrendelő figyelmét, hogy figyi, ezt nem így szokták.

Az is lehet, hogy az ügyfél konkrétan azt kérte, ami minden kommentelő szerint hülyeség. Persze ilyenkor is érdemes szólni, de nekem pl. volt már olyan ügyfelem, ahol elmondtuk, hogy amit kérnek, azzal mi a gond, elmondtuk, hogy ezt hogyan szokás csinálni, és annak mi az előnye, mire ők azt mondták, hogy értik, de szeretnék, ha mégis úgy lenne, ahogy kérték.

Egyébként ha nekem kéne tippelnem, azt mondanám, hogy kért a BKK egy rendszert. A T készített egy proof of concept implementációt, aztán mondjuk határidő vagy csak ostobaság miatt a BKK kitalálta, hogy hát ha már működik, akkor kiteszik élesbe.

proof of concept-et amiben koncepcionális ordas baromságok vannak? szép kis tervezői munka :)

PoC bemutatja a funkciót. A funkció az, hogy lehet jegyet és bérletet venni, és képernyőn megjelenik QR kóddal.

Mivel az igazi termék általában nem a hipp-hopp összedobott PoC foltozgatásával, hanem 0-ról megírásával (gyakran más programnyelven) készül el, ezért teljesen mindegy, hogy a PoC-ben milyen baromságok vannak.

Csak annyi a célja, hogy megmutassa, hogy az adott architektúrán az, amit kitaláltak, akár működhet is.

Már csak meg kell írni. :-)

más tartalmat társítunk akkor a fogalomhoz.

én működő de még messze nem tökéletes megoldást, te meg valami show-off [#*!?]-t nevezel ennek. egy kattintgatható statikus html lapokból álló akármi szerinted megfelelő poc egy ügyviteli rendszerhez pl?

gyakorlatilag amit említesz azt kb frontend app-oknál tudom elképzelni de ott is inkább sales demora lehet (? ha egyáltalán lehet) használni, de arra is csak vetítésnek hisz pont te írod hogy még a felhasznált tech stack se az alatta mint amit validálna: proof of concept: ez így egyben működhet, elvileg erről szól. felületnél is ha nem azzal generálod a felületet amivel később fogod, tuti nem lesz ugyanolyan..

Idézet:
egy kattintgatható statikus html lapokból álló akármi szerinted megfelelő poc egy ügyviteli rendszerhez pl?

Szerintem attól proof of concept valami, hogy bemutatja, hogy az adott elképzelés működni tud. Ehhez az összes kapcsolódást és architekturális elemeket használnia kell, hiszen ha nem használja ezeket, akkor nem tudja bizonyítani, hogy működik az elképzelt koncepció.

Azt feltételezem, hogy egy ügyviteli rendszer része az, hogy mondjuk egy adatbázisból kiolvasson adatokat, kilistázza, így-úgy rendszerezze.

Így, ebben az esetben nem mondanám ezt megfelelőnek.

A statikus html oldal frankó a UX és a grafikai dizájn valamint a munkafolyamatok lépéseinek bemutatására.

Hogy valós példát mondjak: volt egy feladat, időnként valami távoli szerverre feltöltött több fájlt be kellett tölteni valami adatbázisba és ezekből összeállítani különféle jelentéseket.
A PoC egy nagyon gyorsan összerakott python program volt, ami csak limitált adatmennyiséggel tudott dolgozni, lassú volt, viszont megmutatta, hogy az elképzelés működhet, 1-2 korláttal (bizonyos adatokat nem lehetett összekombinálni a bejövő fájlok adattartalma miatt).
Egy csomó edge case, pl. hibás bemeneti fájlok, hiányzó bemeneti fájlok, adatismétlés, hálózati hiba, rossz jelszó, ez-az, nem volt kezelve benne.
A végső megvalósítás úgy emlékszem, C++-ban született meg, és mindenféle trükkös hiba esetekre is felkészült.

Olyan példám is van, ahol a PoC nem tárta fel, hogy gond lesz:
Egy csapat készített egy PoC-t: az előre eltervezett architektúrán végrehajtotta a feladatot: egy cég adatainak betöltése Oracle adatbázisba, aztán egy weboldalon az adatok kereshetősége.
Ment.
Az ügyfél kitalálta, hogy akkor ez menjen élesbe. Úgy számolták kell egy kis faragás, hogy több céget kezeljen, de a kód nagy része kész.
Csak aztán kiderült, hogy a példa cég adatmennyiségével elbírt ugyan, de más cégek nagyobb adatmennyiségét több, mint 24 óra betölteni, és egyébként a cucc nem skálázódik, szóval a kereső weboldal egyszerre az elvártnál kb. 2 nagyságrenddel kevesebb embert tud kiszolgálni.
Egy darabig vergődtek, de aztán megértették, hogy új architectúra kell.

És számos olyan példát is láttam, ami hasonló volt ahhoz, amit te gondolsz: a PoC nem volt más, mint a végleges architektúrán a végleges programnyelven valaki összerakott gyorsan egy megoldást, ami egy-két esetet korlátozott adatmennyiséggel végigvitt.
A gond mindig akkor volt, amikor a megrendelő azt hitte, hogy akkor ezzel kész is van a fejlesztés, mehet élesbe és eladhatjuk az elektronikus bérleteket vagy akármit a publikumnak.
Közben meg ha a fejlesztőnek, architectnek azt mondod, hogy PoC lesz, akkor arra mennek rá, hogy hamar kész legyen a cucc, nem arra, hogy minden NFR-t kielégítsen és minden speciális esetet is kezeljen.
Szóval kb. simán el tudom képzelni, hogy pont ez történt a BKK-nál is.

Úgy gondolom, hogy a BKK-s PoC-nek pl. tartalmaznia kellett valami adatbázist, hogy a felhasználók regisztrálhassanak, tartalmaznia kellett valami működő fizetési megoldást, hogy a felhasználók megvásárolhassák a jegyet vagy bérletet, és végül meg kellett jelenítenie a jegyet/bérletet, úgy, hogy a felhasználó felmutathassa ellenőrzésre.
Az, hogy az adatbázisban jelszót tárolnak, vagy hash-t pl. az szerintem egy olyan részlet, amit a PoC után, a rendes implementáció közben kellene pl. egy IT security-höz értő architectnek definiálnia.

Remélem, érthető, hogy mit próbálok magyarázni

" Az, hogy az adatbázisban jelszót tárolnak, vagy hash-t pl. az szerintem egy olyan részlet, amit a PoC után, a rendes implementáció közben kellene pl. egy IT security-höz értő architectnek definiálnia."

Nagyon remelem, hogy nem sullyedt az informatika olyan szintre, hogy ehhez architect kelljen.

Ez a szint ami a T-nel produkaltak az valahol egy retardalt fogyatekos junior php24 ora alatt programozo alatt van joval. A mostani altalanos iskolai oktatasban levo programozasban magasabb a szint mint amit ebben a PoCben produkaltak.

A megrendelőnek eleve elő kell írnia az iparági standardok szerint fejlesztést (nem csak a végterméknek, hanem a fejlesztés folyamatának is ennek megfelelően kell történnie).
Ezen felül teljes kártérítési felelősségre kell szerződnie (azaz ha a vállalkozó nem tartja be az általa vállaltakat, akkor akár a megbízási összegnél nagyobb kárt is leverhet rajta a megrendelő - mivel a rendszer éves forgalma több, mint amibe kerül a rendszer, így ez valós lehetőség) és/vagy kötelezően elő kell írni (közvetlenül vagy közvetve) a független auditálást. Persze ha csak az első eset van, akkor is a vállalkozó elemi érdeke, hogy saját hatáskörben megbízzon egy független auditort. Mert ha ezt nem teszi, egy perben nem tudja könnyen bizonyítani, hogy jól csinálta a dolgát, és egy milliárdos kártérítésbe simán csődbe is mehet a cég.

Mivel SaaS így gyakorlatilag minden a szolgáltató felelőssége.

Azért "végigkattintani" illik. És ha egy jelszóemlékeztető levélben visszakapom a saját plaintext jelszavamat, akkor aki kicsit is hozzáértő az sikít, hogy ezt így nem szabad élesbe engedni. A bkk oldaláról vagy nem volt ilyen, vagy volt csak felülbírálták a véleményét felülről. Szóval itt egyértelmű a bkk felelőssége.

Másrészt meg az ő nevük alatt, az ő domainjükön megy a rendszer, és az ő termékeiket veszik meg rajta és ebből nekik lesz bevételük. Szerintem teljesen logikus, hogy a megrendelő akár 3. féllel is ellenőrizteti a rendszer biztonságát.

Szerintem te még mindig kevered a jogi felelősséget (ami itt nem nagyon merülhet fel) a szakmai felelősséggel. HA(!) ért a megrendelő hozzá, akkor csinálhat penetration test-et, de nem köteles. A megrendelőnek annyi a dolga, hogy kipróbálja a kért funkciók működnek.

Az a hulladék amit kiadott a T, az az ő felelőssége. Ki is javitotta, igy szakmailag nincs mit pörögni a dolgon a tovább, hogy ez mekkora arcvesztés nekik (a T-nek, nem a BKK-nak) az már egy másik kérdés.

Szerintem az általam _a_ _bkk-nak_ megadott kezeléséért a bkk a felelős jogilag. Én - tudomásom szerint - a bkk-nak adtam meg az adataimat azért, hogy a bkk szolgáltatását megvehessem a bkk-tól. És innen kezdve a kutyát nem érdekli, hogy az nagy té vagy a babámfasza bété fejleszti vagy üzemelteti azt a szarhalmot, a bkk felelős érte, pont.

Szerintem ez nem "szerintem" kérdése. Illetve nagyon remélem hogy nem az.

Persze, beperelheted őket, ha téged kár ért, ők meg majd behajtják a T-n. De én nem kárról beszéltem, hanem arról, hogy attól még, hogy a megrendelő nem ért hozzá és átvesz egy könnyen törhető, de működő rendszert, azért jogilag nem felelős. Nem kell hozzá értsen, nincs törvény, ami előirná neki, hogy márpedig pl. penetration test-et kellene neki csinálnia rajta.

GDPR esetében ki lesz a felelős? Akkor is a fejlesztő, vagy a megrendelő?

> Nem kell hozzá értsen, nincs törvény, ami előirná neki, hogy márpedig pl. penetration test-et kellene neki csinálnia rajta.

Ha szolgáltatást nyújtanak, akkor meg kell felelniük a hatályos magyar törvényeknek.

"Nem kell hozzá értsen, nincs törvény, ami előirná neki, hogy márpedig pl. penetration test-et kellene neki csinálnia rajta."

Pedig kellene hogy legyen ilyen előírás.
A bkk alapvetően egy monopol szolgáltató, nem igazán tudod kikerülni a szolgáltatását (*), tehát a "piacon megbukik ha szar" elv semmiképp sem érvényes rá.
Márpedig az ilyen monopol/oligopol piacokon igenis komoly előírásoknak kellene megfelelni szerintem, amiben az is benne van, hogy egy ilyen lyukas szart nem teszünk production-be.
Akkor se ha kezdődik a vizes vb...

Jövőre már él az EU direktíva, akkor a hasonló baklövéseknek már következményei lesznek. A következmények nélküli bénázás napjai meg vannak számlálva.

"The following sanctions can be imposed:

- a warning in writing in cases of first and non-intentional non-compliance
- regular periodic data protection audits
- a fine up to 10,000,000 EUR or up to 2% of the annual worldwide turnover of the preceding financial year in case of an enterprise, whichever is greater (Article 83, Paragraph 4)
- a fine up to 20,000,000 EUR or up to 4% of the annual worldwide turnover of the preceding financial year in case of an enterprise, whichever is greater (Article 83, Paragraph 5 & 6)"

már ha végrehajtják még akkor itthon a brüsszeli azaz luxemburgi bírósági ítéleteket...

Nem kell hozzá értsen, nincs törvény, ami előirná neki, hogy márpedig pl. penetration test-et kellene neki csinálnia rajta.

Nem. Olyan törvény van, ami az "elvárható gondosság" nevű felelősségi kört telepíti a cég vezetőire. Ennek meg lehet felelni úgy, hogy ért hozzá az illető és a saját szaktudására alapoz, vagy úgy, hogy a felelősséget továbbdelegálja. Ez utóbbi ugye lehet egy megfelelő beosztott/aligazgató megbízása a feladattal, vagy egy külső vállalkozás felkérése. Az biztosan nem az elvárható gondosság, ha semmit nem tesz, és vakon bízik benne, hogy majd nem lesz gond. Szóval, multis szleng szerint: a főnöknek védenie kell a seggét, kell a papír.

Már beperelték őket.
Személyes adattal való visszaélés elkövetésének alapos gyanúja miatt.
Az a komoly, hogy ismeretlen tettes helyett nevesítették őket.
Azért szokták ismeretlen tettes ellen tenni, hogy ne tudják visszaperelni őket.

Sztem semekkora.
Csak az a menő, akinek 30-as mobilszáma van.
Tudom, ez egy másik részleg.

ilyen hulladekot enterprise grade-ben csak a T tud :)

Jesus...

.. nehogy azt hidd.. mindig van lejjebb. pl virtusa,wipro [...]
sok esetben "enterprise grade" : hulladékot arany árban..

"A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni."

"A BKK sajtóosztálya a T-Systems felé mutogatott, hogy őket kérdezzük a rendszer működéséről, el is küldtük nekik a kérdéseinket, és őszintén kíváncsiak vagyunk rá, hogy mennyi pénzből, milyen határidővel dolgoztak, és hogy ők maguk milyen színvonalúnak találják ezt a munkát."

Nah itt az első "incidens". Úgy tűnik tényleg "Komplex probléma a hazai informatikai biztonság kérdése".

Negatív referencia. Van ilyen is. :)
--
http://naszta.hu

"szerver oldalon nem validalnak inputot..."
Azért a plain text-ben tárolt jelszó se semmi.

Az Oyster tul egyszeru es mukodo megoldas volt ahhoz hogy foglalkozzanak a lemasolasaval. Meg a vegen elegedetten hasznalnak pff...

Mert nem egyszerubb egy tesztuzemet megoldani mar az embereknel levo eszkozokkel, mindenkepp ki akarsz dobni milliardokat a plasztikkartyakra, mi?

Már van ilyen. Vagyis még nincs, de lesz. A RIGO kártya. http://rigo.bkk.hu/mukodes

Amire felesleges volt kidobni a pénzt, az pont ez a qr kódos ökörködés.

Tudja fene. Errefele eleg sok helyen hasznaljak mind a harom megoldast.

QR kodos e-ticket, papir alapu magnescsikos, amit elol bedugsz, felul meg kijon, meg RFID/NFC a plasztikkartyanak, amit csak lecsippantassz.

Mindez egy keszuleken.

Nem lehet, hogy otthon is egy ilyen integralt rendszert tesztelnek/keszitenek, es ennek az elso allomasa kerult ki elesbe most?

Mar ugye csak kerdem, hogy pl. NFC keptelen telefonnal hogyan szeretnel "okosjegyet" hasznalni, ha nem QR koddal?

Csak kerdem, ha a reptereken megfelelo a QR kodos beleptetes, akkor neked miert is "felesleges okorkodes" ez a BKK reszerol?

egy reptéren napi 1x vagy max, és amúgy sorban állsz (pl. screening miatt)

egy metrólejáraton 0.3 sec alatt akarsz átjutni. Gondolj bele, ha csak 1 másodperc lenne egy QR kód leolvasása, validálása, és a zöld fény felvillantása. Mekkora sorok lennének?

van egy futó projekt az oyster lemásolására, akkor miért költünk egy másikra is?

Oslo-ban működött fennakadás nélkül...

Hehehe, az nem Magyarország :D

Nfc olvasása miért rövidebb, mint egy qr kód leolvasas?

Mert nem kell a pozicionálással, fókuszálással és a fényviszonyokkal mókolni. (Esetleg ipari leolvasóval lehet valamennyit gyorsítani a QR kód olvasásán.)

Ez szerintem qr kód olvasón is múlik. A cseh és szlovák vasutakon olyan olvaso van, hogy odarakod és már meg is van, nem kell baszakodni mint a mávossal, hogy messze, közelebb ,jó szögbe áll, stb.

QR sebesség ≤ NFC sebesség. QR olvasó _lehet_, hogy megkérdez, mit csináljon a kapott infóval, NFC szabvány kiköti, hogy ha lehet, akkor azonnal akció.
------------------------
Everyone is a winner*

"NFC keptelen telefonnal hogyan szeretnel "okosjegyet" hasznalni, ha nem QR koddal?"

Ez tényleg nem értem miért probléma. Ennyi erővel mondhatnánk, hogy nem mindenkinek van okostelefonja, ami alkalmas a QR kód megjelenítésére. Kisebb réteg, de létező. Ők is utaznak most valahogy :) Nekik most alternatívaként a klasszikus jegy van, NFC-seknek is lehet. De valójában erre sincs szükség. Miért nehéz elképzelni azt, hogy az NFC-s beléptetés alapja egy szimpla kártya, ami helyettesíthető NFC képes telefonnal?

A QR kód pedig azért felesleges ökörködés, mert már eleve volt terv korábban egy másik rendszerre (lásd rigo kártya). Tehát ez egy felesleges köztes lépés volt. Ez olyan, mint amikor nekiállsz főzni, és amíg készül a kaja csinálsz egy szendvicset. Csak épp ez a szendvics marha sokba került, és el is vette az ember étvágyát.

Ráadásul látjuk a gyakorlatban, hogy lassú egy fő ellenőrzése qr kóddal. Reptereken más a helyzet, ott egy beszállásra van egy csomó idő szánva.

"Nem lehet, hogy otthon is egy ilyen integralt rendszert tesztelnek/keszitenek, es ennek az elso allomasa kerult ki elesbe most?"

Egyébként simán lehet, de tudod, arrafelé van erre pénz, errefelé meg nincs. Errefelé egy jó rendszert kellett volna építeni.

NFC mentes okostelefonosként szerintem sokkal nagyobb az a réteg, akinek nincs okostelefonja vagy egyáltalán mobilja, mint az nfc-mentes okostelefonos. Még milennial szoftverfejlesztő ismerőseim közül is nem egy szaladgál butatelefonnal, nem hogy az öregebbek. És akkor ott van még egy olyan réteg, akinek van okostelefonja, de nincs mobilnetje, náluk is ki van lőve a mostani qr kódos rendszer.

> náluk is ki van lőve a mostani qr kódos rendszer

A mostani lehet, de a QR kód generálásához nem kell feltétlenül internet. google://TOTP

Értő olvasás pls.. illetve: https://hup.hu/node/154459#comment-2121971

egyszer letenni a kulcsot a telefonra vs folymatos online kapcsolat baromira nem ugyanaz

ha Átlag Józsi mobilnet nélkül is ragaszkodik az e-jegyhez, ráadásul otthoni és munkahelyi wifi-hozzáférése sincs, akkor még mindig beülhet a helyi mcdonalds-ba kulcsot generálni az ingyenwifin

Jó és most van olyan megoldás, hogy folyamatos kapcsolat nélkül működjön? Nincs. Én ezt írtam. Akkor meg miről is beszélünk?

A linkelt hsz meg arra vonatkozott, hogy ezzel csak tolod a problémát, de nem oldod meg. Mert most nem magát a qr kódot fogják megosztani, hanem az azt generáló kulcsot. A kulcs alapú OTP ugyanis nem erre lett kitalálva. Egy banki loginnál az eszköz gazdája érdekelt abban, hogy más ne tudjon belépni a felhasználójával, ezért védeni fogja a kulcsot.

Itt viszont pont, hogy nincs bizalmi kapcsolat a felhasználó és a szerver között, csak a szolgáltató érdekelt abban, hogy más ne használja a kulcsot, a felhasználó meg abban, hogy egy áráért minél több bérletet kapjon. Magyarul átmásolja a kulcsot az asszony telefonjára, és hajukra kenhetik az amúgy divatos, csak épp másra való security technológiát.

Ezert csinaltak hyper secure -ra es csak szemelyivel ervenyes :D

Lásd a linkelt rigo, plusz hogy ennek a telefonos baromságnak semmi értelme.

Mi ez a telefonos baromsag es miert nincs ertelme? Biztos, hogy nincs ertelme? Atgondoltad az osszes use-case-t, es az alapjan allitod, hogy soha, semmilyen korulmenyek kozt nem erte meg erre penzt kiadni? Ezt a rigo kartyat megis hogy szeretned okostelefonnal hasznalni, ha abban nincs NFC? Csak nem QR koddal? Biztos, hogy az integralt jegykezelo automatakon nem lesz optikai leolvaso kifejezetten erre a celra, hanem fel ev utan megy a levesbe az egesz? Egyaltalan, tudnad nekem linkelni a BKK eziranyu strategiajat (nem valami marketing anyagot), amibol a sommas velemenyedet leszurted?

A rigó kártyát ha jól értem nem kellene telefonnal használni. Az egy NFC kártya lenne önmagában, ami a jelenlegi bérletet helyettesítené.

Tehat ha az NFC csak kartyaval mukodne majd, akkor kell a QR kod a telefonoknak. Ha a telefon NFC funkciojat ki is hasznaljak kesobbiekben, akkor sem art a QR kod a nem NFC kepes telefonok miatt.

Minek?

Ha van egy NFC-s kártyád, amivel azonosítani tudod magadat az ellenőr és automata beléptető kapu irányába, mégis milyen felhasználási módját látod még a QR kódnak?

Nincs értelme, mert a tárca helyett, amiben ott a bérlet és az igazolvány, most vehetik elő az emberek a telefont és a tárcát, mert kell az igazolvány. Hatalmas áttörés! Honnét veszed, hogy okostelefonnal akarnék használni egy nyomorult bérletet? A rigo meg sokkal több annál, hogy papír helyett kártyát/telefont mutogatsz, a lényege a díjszabás.

"Nincs értelme, mert a tárca helyett, amiben ott a bérlet és az igazolvány, most vehetik elő az emberek a telefont és a tárcát, mert kell az igazolvány."

Biztos, hogy nem tervezik ennek is a modernizalasat is, es ez csak egy atmeneti allapot?

"Honnét veszed, hogy okostelefonnal akarnék használni egy nyomorult bérletet?"

Honnan veszed, hogy en nem? Sot, tovabb megyek, meg a telefont se szeretnem elohalaszni, sokkal jobb lenne, ha az Apple Watch lenne hasznalhato erre.

"A rigo meg sokkal több annál, hogy papír helyett kártyát/telefont mutogatsz, a lényege a díjszabás."

Hurra, de ez most hogy jon ide? Arrol beszelgetunk jelenleg, hogy van-e ertelme a QR kodos "bohockodasnak" vagy nincs.

Az értelmét úgy nézd, hogy hacsak nem csúszik megint, ősszel indul a RIGO tesztüzem, szóval kb mire kijavítják benne a hibákat, már cserélik is le, de legalább lett valami a vizes vb-re jeligével.

Marmint tuti, hogy a Rigo jegykezelokben csak NFC-s, kartyas-csippantos megoldas lesz, es nem lesz optikai letapogato QR kodhoz?

Londonban pl. a buszokon ügyesen meg tudták oldani, hogy csak NFC-s csippantás van. Bankkártyával, telefonnal, oyster kártyával lehet csippantani, ki mit szeret használni.

Plusz ott a sofőr, ha valakinek van egy papír vonatjegye vagy mondjuk egy olyan igazolványa, amivel ingyen utazhat, a humán intelligencia megoldja.

Itthon is ez lenne a normális megoldás. Legfeljebb, ha magyaros virtust is ki akarják fejezni, akkor elfogadnák az NFC-s vasalót és vibrátort is.

Ha a RIGO (Rugalmas, Integrált, Gazdaságos, Okos ) sem lesz jó, akkor marad a DEKK (Drága, Elmaradott Közösségi Közlekedés). :-)

Azt írta az újság, hogy azért nincs értelme, mert a QR kód egyszerűen lemásolható, és így többen utazhatnak egy jeggyel. Vagy bérlettel.

Akkor tán nem QR kódot kellene használni.

Mert ugye a zujsag jobban tudja, mint a technologiai ellovasok... :)

(szerintem nem vetted a szarkazmust fentebb)

Szerk:

ugye annyira jol masolhato, hogy olyan helyekre se engednek be csak QR koddal, mint pl. egy repuloter (hint, de, beengednek, csak a boardinghoz kell igazolvany).

csak a boardinghoz kell igazolvany

Az utolso 10-bol 8 beszallasomnal nem kellett sem utlevel, sem igazolvany. 3 evvel ezelott kollega Becsbol eljutott Gibraltarig a felesege utlevelevel, csak ott akadt fent, leven nem schengeni ovezet es ki kellett nyitni ellenorzesre :)

--
L

Az elmúlt évben csak 1 vagy 2 esetben volt terrorcselekmény repülőtéren. De az elmúlt évben hányan blicceltek, vagy utaztak hamis jeggyel a BKK járatain? Na ugye, a BKK nagyobb veszélynek van kitéve, mint egy koszos kis repülőtér. Itt nem lehet laca-facázni!

Egyszeri beléptetésnél lehet ellenőrizni egy központi szerverrel, hogy használták-e már, és ha igen, akkor nem engedi be többet. BKV bérletnél meg egy hónapig/hétig/napig folyamatosan érvényesnek kell lennie, maximum gépi tanulást engedhetsz rá a logokra, hogy adott felhasználási minták esetén hányan használhatják ugyan azt a bérletet.

Ezt az ötletet konkrétan már el is küldtem BBK-nak pár napja. :D

És ha a QR kód adattartalma tokenként változik? A statikus másolat 10 perc múlva már nem érvényes.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Akkor mindenkinek kell a konstans adatkapcsolat, plusz egy backend, aminek nagyságrendileg több tokent kell generálni.

Bocsánat, de lófaszt... simán lehet része a QR kódnak egy percenként generált OTP, amihez csak időszinkron kell.

Jogos, megfertozte az agyam a szakmai színvonal, szorri :-)

Miért, token-t nem lehet tárolt kulcs alapján offline generálni?

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Ez olyan, mint az a probléma, hogy cloud appoknál hogy adjuk be a secreteket automatikusan. Tegyük ki config serverbe, amihez szükséges secretet meg úgy adjuk meg, hogy...

Ennek ebben a formában biztosan nincs értelme, legalábbis közpénz ezért semmiképp se érte meg adni - kivéve azoknak, akik 8-9-10 számjegyű összeget tettek zsebre és megiratták egy pistikével 1 hét alatt.

Ez a sw kb. 1-2 nap alatt megbukott: nem validálják server oldalon az input, plaintext tárolnak jelszót, azt plaintext elküldik, simán lenyúlható a teljes adatbázis, és még a telefonos gui is szar.

Ez az a szint, amit egy "bevezetés a webprogramozásba I" tárgyánál jóindulattal talán elfogadnak kettesre, de fölötte karó mindenhol, már ha a tanár kicsit is ad magára.

Ezt a rendszert be kell csukni, ki kell dobni, és - ha van értelme - hozzáértőkkel újraterveztetni és újrairatni. Ez valószínűleg olcsóbb és biztonságosabb, mint ha egy sort is meghagysz abból a kódból vagy tervből, ami ilyen.

Ez a RIGO szép lenne - ha már 5+ éve működne! 2017-ben már tényleg ne kezdjünk el még egy meg még egy ilyen-olyan kártyát rásózni az emberekre! Telefonos app - ugyan modernebb lenne NFC-vel, de a QR kódot is lehet jól használni, Milánóban pl. qrvajól működik.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Plusz ne felejtsuk el, hogy az egyik legfontosabb mobil platform jelenleg meg nem tamogatja a 3rd party NFC-t, csak a kovetkezo, iOS11-gyel fogjak azt megnyitni kulso fejlesztok fele.

Ehh. Az elektronikus jegynek nem az lenne az értelme, hogy menőn a telefonod lóbáld, hanem hogy pl ne kerüljön 3-4-szer annyiba egy sok átszállásos utazás, mint kétszer akkora távot lemetrózni egy jeggyel. Hogy ugyan azt a bérletet meg napijegyet mostantól telefonon mutogathatom ezen semmit sem segít.

Ha értelmesen csinálják, és az infok alapján van rá remény, akkor plusz kártya csak annak kell, akinek nincs új személyije vagy diákigazolványa, ha meg nem vesz bérletet, akkor londoni mintára mehet a paypass kártya, napi limittel.

Ezt ugyanugy meg lehet oldani papir alapu jeggyel is, nincs itt semmi latnivalo.

Az e-ticketnek az a lenyege tobbek kozt, hogy peldaul nem kell elmenni, megvenni, kinyomtatni, hanem a szamodra kenyelmes eszkozzel tudod igenybevenni a szolgaltatast.

Ha nincs itt látni való, akkor megyek és veszek egy ilyen jegyet. Ja várj, nem tudok, mert nincs.

Ha eleg oreg vagy, meg emlekszel a kulon villamos es buszjegyre. Peldaul ugy is meg lehet oldani egy zonas tarifa rendszert, ehhez nem kell XXI. szazadi technologia.

(ld. metro szakaszjegy)

Nem vagyok elég öreg, ráadásul bevándorló budapesti. Nem az a lényeg, hogy mi volt, vagy hogy mit lehetne, a lényeg, hogy nincs, RIGO-val meg lesz. Olyan mondjuk szerintem sosem volt, hogy bevittem egy marék használt jegyet, hogy "csókolom, többet utaztam mint gondoltam, kérem vissza a napijegy ára feletti részt".

Es a Rigonak nem lehet az _egyik_ technologiai megvalositasa az okostelefonos, QR kodos megoldas?

De lehet, ha a 10 ezer nfc-s érvényesítő készülék mellé vesznek 10 ezer qr kódost is. Megér ennyi pénzt?

2-in-1?

Minek 2 in 1? Mondd el, onnantól hogy van egy nfc-s rendszer, minek még mellé qr kód is?

Hát hogy neki legyen igaza :D
--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Halkan kerdem. A MAV mar letezo infrastrukturajaval hogy szeretned osszeintegralni a BKV epp kiepulo felben levo rendszeret?

Nem ertek hozza, de nekem logikusnak tunik az elovarosi vonatok integralasa a varosi tomegkozlekedesbe. Ha szerinted ez hulyeseg es/vagy a MAV-nak kellene lecserelnie a mar meglevo QR kodos rendszeret, erdeklodve varom, hogy miert is.

Szóval az igazodjon, ahol 12-13 ezer eszköz szükséges, nem pedig az, ahol vonatonként egy. Megjegyzem MÁV telefonnal ellenőriz. Amiben - fanfár - akár még nfc is lehet. Amivel - fanfár - lehetne majd rigo kártyákat is olvasni.

> lehet

Most már nagyon idegesitő kezd lenni, hogy minimális gazdasági hozzáértéssel vívod a szélmalomharcod.

A MÁV QR kódos rendszere 2013 elején indult. Az akkor beszerzett telefonok legkésőbb jövőre nullára lesznek írva. Az újak beszerzésénél már lehet NFC képeset venni.

Persze ha vadiúj nem NFC-s telefonokat kellene lecserélni, még az is mindig SOKKAL olcsóbb lenne, mint TIZENSOKEZER eszközön változtatni, potenciálisan hónapokkal tovább tolva a rigo bevezetését.

Mostmar nagyon idegesito kezd lenni, hogy kotekszel :)

Latod, en csak annyit mondok, hogy ez van, a MAV-nak ott a QR kodos rendszere, 2013-ban indult, tehat valamilyen szinten tesztelve van mar. Nem tudom, hogy mennyi ertelme lenne ezt hirtelen lecserelni egy olyan rendszerre, amivel semmilyen tapasztalatuk nincs (ld. post). Tudod, csak az basz fel, hogy ebben a topicban csak a mocskolodas, a hulyezes, a lefitymalas jott, de abba egyikotok se gondolt bele, hogy mi van, ha ez a rendszer nem csak "villantani kell a vizes VB-re", hanem esetleg egy nagyobb, komplexebb megoldas elso hirnoke.

Termeszetesen nem latok bele a BKK es a MAV kozti szerzodesekbe, nem tudom milyen cegkozi strategiaval operalnak, de az a hangnem ami itt lemegy az egyreszt gusztustalan, masreszt a rossz szandekusag es egyaltalan, a gondolkozas teljes hianya valami verlazito.

Foleg amikor emberek tenyek hianyaban sommasan kijelentik, hogy az "egesz rendszernek semmi (ismetlem SEMMI) ertelme".

Hulyezz le nyugodtan, szerintem kettonk kozul nem en vagyok az :)

Nem akarom lecserélni. Talán képes két applikáció futni egy telefonon a kalauzoknál.

Gazdasági hozzánemértést nem tekintem úgy, hogy hülye lenne a másik, szóval köszönöm a minősítést, ennek kacifántos körülírása helyett esetleg használhatnád a googlit. Például az nemzeti egységes jegyrendszerről olvasgatni. Főleg mert engem nem érdekelt annyira, így még az is lehet, a végén azt találod benne, hogy a qr kód a világ legmenőbb dolga, ezért mindenhol az lesz.

Ez meg a rigo kivitelező neve: Scheidt&Bachman. Hasonlóképp úgy ajánlom, hogy csak átfutottam a honlapjukat, lehet találsz rajta qr kódos megoldást, hogy az orrom alá dörgöld, ha már ennyire lelkes vagy.

Nekem a közbesz értesítő adatbázisból úgy tűnik, hogy a Scheidt & Bachman vastagon benne van a MÁV-os projektekben is, szóval gondolom ha megerőltetik magukat, azért van QR kódos megoldásuk is. :)

Lehet. De nem az a kérdés, hogy technológiailag megoldható-e, hanem hogy érdemes-e erre pénzt áldozni. Mint már többször leírtam, a bkk-nál tizensokezer eszköznél kellene pluszban qr-kód technológiát venni, a mávnál meg az elővárosi vonatokra az amúgy is csereérett telefonok helyett nfc-set venni. Nagyságrendi különbség, lehet nem is egy. Lehet x éve még én is ráizgultam volna, hogy "uu legyen qr kód is", csak mióta havonta kisebb vagyonokat fizetek az államkasszába, kevésbé vagyok toleráns az értelmetlen pénzszórással szemben.

Gyorsan utananeztem, az OBB (Osztrak vasuttarsasag), a DB (Nemet vasuttarsasag) + UK ben a vasuttarsasagok mind QR kod alapu e-ticket rendszert hasznalnak (tobbi orszagnak most nem nezek utana). Mostmar csak azt kene kideriteni, hogy van-e valami EU direktiva az e-ticket rendszerek atjarhatosagarol (a vasut, es a tagallamok kozt integralt vasut az EU-nak amugyis strategiai fontossagu).

Van a mávnak Qr kódja? Van. Következik ebből, hogy elővárosi vonatokon más megoldást nem fogadhatnak el? Nem.

Ha az EU azt mondja, hogy a vonatokon marpedig QR kodos e-ticket kell, akkor most a MAV kezdjen el ketfajta megoldast hasznalni (hello belepteto kapuk az orszag teruleten szetszorva), vagy egyszerubb, ha a BKV keszul fel mindketto kezelesere a MAV-hoz kepest toredek helyszinen?

Mielott azzal jossz, hogy "dehat nincsenek is belepteto kapuk", gyorsan tedd hozza meg azt, hogy "meg".

Ember! Te jársz tömegközlekedéssel vagy vonattal? Én elég gyakran.
A vonaton nagy tömegben a kalauz általában sz*rik a QR-kódra, legalábbis simán megcsinálja, hogy csak az egyiket olvassa le, és a többit elhiszi. A vonat nagy tömege meg reggelente a BKV ritkább járatainak felel meg. Már az NFC-t is csodálni fogom, ha bírja pl. az Örs vezér terén reggel a metrónál, de a QR-kód-olvasókat kb. 1 nap után döntené le a népharag.

Esetleg elolvashatnad a topicot kontextusaban is. A felvetett kerdesek mar meglettek valaszolva. Szolj, ha nem talalod, segitek.

Egyébként mi bajod az NFC-vel és miért véded/akarod ennyire a qr kódot? Érdekeltséged van benne valahol? Mert ha csak szimplán technikai oldalról nézed az NFC előnyösebb. Ha azt is nézed, hogy mi van berendelve, akkor is előnyösebb.

En azt probalom megfejteni, hogy a BKK miert rukkolt elo a QR kodos megoldassal. Szamomra a "villantanak az uszo VB-re" nem megfelelo valasz. Szerintem ennel logikusabb ervek vannak a hatterben, amit az egyszeru forumozo ugy nez ki nem igazan lat at. Szeretnek a vegere jarni a felinformaciok alapjan, hogy vajon tenyleg csak elszortak csilliardnyi penzt a nagy semmire, vagy esetleg egy komplex, integralt, europai szintu megoldast szeretnenek kihozni belole a vegen (implementacios hibak meg mindig nem erdekelnek; see the big picture; think outside of the box, ahogy a muvelt angol mondana).

"En azt probalom megfejteni, hogy a BKK miert rukkolt elo a QR kodos megoldassal."

Az a baj, hogy nem ez jött le abból amit írtál. Illetve ha ezt próbálod, akkor miért a QR kód mellett ágaskodsz ahelyett, hogy konkrétan ezt fejtegetnéd. Ráadásul itt pont hiába keresed a választ, amennyire tudom senki nem érintett közvetlenül az oldalon az ott folyó ügyekbe, úgyhogy max mindannyiunknak véleménye van az esetről, konkrétumokkal meg azzal szolgálhatunk, amit te is olvashatsz máshol.

"Szamomra a "villantanak az uszo VB-re" nem megfelelo valasz."

Szíved joga véleményt formálni erről a kérdésről, én is csak azt tudom elmondani, hogy mit érzek a dologgal kapcsolatban. Az, hogy mi a logikus, és hogy mi történik ténylegesen, annak pedig nincs egyáltalán köze egymáshoz. Főleg nem ebben az országban.

"vagy esetleg egy komplex, integralt, europai szintu megoldast szeretnenek kihozni belole a vegen"

Lehet, hogy ezt akarják, de erre nincs pénz ebben az országban. Csak a fővárosi tömegközlekedést tekintve volna egy csomó más hely, ahol arra a pénzre nagyobb szükség van, amit erre kidobnak. Tudod, én ha egyedül dolgozom egy projekten, tudom a határaimat, és kompromisszumokkal állok neki a fejlesztésnek. Te meg azt mondod, hogy legyen ez is, meg az is, amikor se pénz, se tehetség nincs hozzá (látszólag?)

> Az a baj, hogy nem ez jött le abból amit írtál.

Szerintem egyertelmu voltam.

> senki nem érintett közvetlenül az oldalon az ott folyó ügyekbe, úgyhogy max mindannyiunknak véleménye van az esetről

Igazabol ez haborit fel igazan. Fogalom nelkul mocskolodnak emberek, anelkul, hogy belegondolnanak a valoszinu okokba.

> Az, hogy mi a logikus, és hogy mi történik ténylegesen, annak pedig nincs egyáltalán köze egymáshoz. Főleg nem ebben az országban.

Nyilvan, ha ilyen attitud uralkodik a mediaban, forumokon, akkor minden szarul fog festeni. Ha vagdalkozas es fikazas helyett az emberek elkezdenenek gondolkodni, lehet mas lenne a hangulat.

> Lehet, hogy ezt akarják, de erre nincs pénz ebben az országban. Csak a fővárosi tömegközlekedést tekintve volna egy csomó más hely, ahol arra a pénzre nagyobb szükség van, amit erre kidobnak.

Nem ismerem a megterulesi mutatokat, adnal forrast?

Szerintem itt a többség nem mocskolódik, csak szimplán a tényeket közli.

Amikor van készülőben egy rendszer, és nincs pénz arra, hogy menjen a légkondi, hogy a hármas metró ne életveszélyes legyen, akkor nem állunk neki egy qr kódos rendszert csinálni. Ez nem mocskolódás, hanem logikus érvelés. Még ha nem is értesz vele egyet.

Az sem mocskolódás, hogy nevetünk a rendszer nyilvánvaló és fájdalmas hibáin. Ehhez a részéhez viszont pont értünk, és nem fogalmatlanul alkotunk véleményt.

Ha az emberek elkezdenének gondolkodni... Gondolod, hogy attól jobb lesz a helyzet. Szerintem pont akkor döbbennének rá többen, hogy igen nagy gondok vannak. Na de ne keverjük ide a politikát. Nem kell ahhoz agytrösztnek lenni, hogy belássuk, hogy ha a vadiúj metrók lerohadnak heti szinten, akkor a pénzt nem egy új, harmadik fajta jegyrendszer bevezetésére kellene költeni, ráadásul nem olyanra, aminek nyilvánvalóan bizonyított hibái vannak.

"Ha az EU azt mondja, hogy a vonatokon marpedig QR kodos e-ticket kell"

Nem mondja.

"akkor most a MAV kezdjen el ketfajta megoldast hasznalni"

A máv qr kódot használ.

"(hello belepteto kapuk az orszag teruleten szetszorva)"
"Mielott azzal jossz, hogy "dehat nincsenek is belepteto kapuk", gyorsan tedd hozza meg azt, hogy "meg"."

Itt mire gondolt a költő?

"vagy egyszerubb, ha a BKV keszul fel mindketto kezelesere a MAV-hoz kepest toredek helyszinen?"

Te valami alternatív valóságban élsz, hogy neked a bkv a töredék helyszín a máv _elővárosi_ vonalaihoz képest?

> Nem mondja.

Pedig a tobbi orszag peldajabol ugy nez ki, hogy megis mondja.

> Itt mire gondolt a költő?

me'g

> Te valami alternatív valóságban élsz, hogy neked a bkv a töredék helyszín a máv _elővárosi_ vonalaihoz képest?

Szoval akkor a MAVnak legyen egy elovarosi NFCs rendszere, meg legyen egy QR kodos rendszere az orszag tobbi reszere? Eszednel vagy?

"Szoval akkor a MAVnak legyen egy elovarosi NFCs rendszere, meg legyen egy QR kodos rendszere az orszag tobbi reszere? Eszednel vagy?"

Többször is leírtam, hogy mit akarok, ha ennyi idő alatt nem jutott át a tűzfalon, akkor feladom, további jó élevezkedést a qr kódos okostelefonra.

Senkit nem erdekel, hogy te mit akarsz. En azt irtam le, ami valoszinuleg a dontes hattereben all.

Dehogynem, hisz épp abba kötöttél bele...

Mindenki más meg leírta, hogy miért nem jön ki a matek, de mintha falnak beszélnénk.

Nem, en ebbe kotottem bele:

> ... ráadásul semmi értelme az egésznek. Bérlet helyett telefont vehetek elő a személyi mellé. Ennek minimális értelme pont, hogy jegyeknél lenne, nem bérletnél, hirtelen eszembe jut, hogy nincs jegy/lejárt a bérlet, megveszem egy útra, és kész, még azonosítással sem kellene szórakozni.

https://hup.hu/node/154459#comment-2121154

Itt mar sok volt olvasni az itteni kozosseg amokfutasat, ahelyett, hogy megprobalnanak rendszerben gondolkodni.

Ne vedd fel a Dabóczi pofátlan stílusát, ez a szál már rég nem erről szólt. Hanem arról, hogy nem sikerült felfognod azt az eszmefuttatást, hogy az ELŐVÁROSI kallerek olyan telefont kapjanak, amivel a qr kód MELLETT a rigot IS tudják majd olvasni. Talán a saját mondandód mantrázása helyett szánj időt néha az értő olvasásra is.

Amit te csinálsz, az nem rendszerben gondolkodás, hanem wishful thinking a pénzügyi oldal és gazdasági racionalitások teljes sutba dobásával.

Talán a saját mondandód mantrázása helyett szánj időt néha az értő olvasásra is

En wishful thinking, mikor a tenyek mellettem szolnak? Na ne mar? :) egyebkent is te ismerted el fentebb, hogy te arrol beszelsz, hogy mit szeretnel. Most akkor igy komolyan en?

Miféle tények? Amit linkeltél, az eleve ha-val kezdődik, ráadásul a fele értelmetlen illetve nem világos, hogy miről beszélsz..

Teny, hogy

- a MAV QR kodot hasznal 2013 ota
- nyugatabbra a vasuttarsasagok (es nemely tomegkozlekedesi vallalat) mind QR kodot hasznalnak
- a BKK-nak meg nincs e-ticket rendszere, csak terveznek egyet bevezetni, ami valoszinuleg RFID/NFC-re epul (RIGO)
- a BKK bevezette a QR kodos megoldast
- a QR kodos leolvasas ugyanolyan gyors, mint az NFC/RFID
- reptereken QR kodot hasznalnak
- az EU a kulonbozo kozlekedesi megoldasok konvergenciaja mellett tette le a voksat

A maradekot logikazd ki.

> ráadásul a fele értelmetlen illetve nem világos, hogy miről beszélsz..

Szolj, ha meg mindig nem.

"a QR kodos leolvasas ugyanolyan gyors, mint az NFC/RFID"
Nem. Utóbbihoz ugyanis elő sem kell venni a telefont.

Lolmar. Az NFC/RFID-hez nem kell elovenni a tarcat/kartyat/telefont?

Képzeld, simán fizetek a paypassos kártyámmal anélkül, hogy kivenném a tárcámból, mint ahogy a telefon NFC-je is használható anélkül, hogy kivennéd a tokjából.
Van még kérdés?

Peldaul, hogy miert gondolod azt, hogy neked QR kodot kene hasznalnod, ha neked az nem kenyelmes.

Nem én kampányolok a QR-kód mellett.

Te csak latszolag nem erted a komplex rendszerek mukodeset.

Viszont legyszives mutass mar ra arra, hogy hol kampanyoltam az NFC/RFID _ELLEN_?! Az egesz rohadt topicban arrol van szo, hogy sirtok, mint a furdos kurvak, hogy "jajj kidobott penz, meg jajj vizesvebere villantani, megy a levesbe az egesz fel ev mulva", aztan amikor probalom megmagyarazni a mogottes logikat, hogy ez integralt rendszer lesz a vegen (tenyekkel megtamasztott) _valoszinuleg_, akkor meg nekem estek, mint tot az anyjanak.

Ertem en, hogy faj a kognitiv disszonancia, meg nem lehet megint nagyokat rugni a fovarosba/BKK-ba/egyaltalan az orszagba, de talan sokkal tobbre jutnank, ha allando fikazas helyett belegondolnatok a mogottes indokokba, es nem rogton a rosszat felteteleznetek. Van eleg rossz a vilagban anelkul is, nem kell meg tobb mondvacsinalt problemat generalni.

Te a QR mellett kampányolsz, hogy a BKV-nak azt (is) kellene kezelnie, mert a MÁV…
De nem, nem kell kezelnie. Ha a MÁV kezelni akarja az NFC-t, megoldja. De ha a BKV-nál az NFC-s rendszer bevezetése után QR-t is akarnak, akkor azt mindenhol el kell fogadni, azt pedig tényleg ajánlom megnézni, mi van reggel pl. az Örs vezér terén. Egy általában QR-rel működő rendszert egyszerűen elmosna a népharag, én az NFC-sben is kételkedek, hogy emberi sebességű lesz.

Tehát az NFC-s rendszer bevezetése _után_ a QR-kódosnak egyszerűen nincs helye.

(És igen, kidobott pénz: havi 22-25 millió. Ez alaphangon 3000 teljes árú havi bérlet ára. Feleslegesen. Mert ezt a rendszert aztán nem integrálják sehová, megy a levesbe.)

> Te a QR mellett kampányolsz, hogy a BKV-nak azt (is) kellene kezelnie, mert a MÁV…

Ertelmezd mar legyszi amit irok. En nem kampanyolok mellette, hanem indoklom, hogy miert is vezethette be a BKK ezt

> Egy általában QR-rel működő rendszert egyszerűen elmosna a népharag, én az NFC-sben is kételkedek, hogy emberi sebességű lesz. Tehát az NFC-s rendszer bevezetése _után_ a QR-kódosnak egyszerűen nincs helye.

Remek erveles. Esetleg probaltal mar ilyet, mert en nem egyszer utaztam QR koddal vonaton, es semmi ilyesmi nem volt. Se a belepteto kapunal nem volt fennakadas, se az ellenorrel. De nem veletlen linkeltem a videot a belepteto kapurol, gyakorlatilag megallas nelkul lehet atsetalni rajta. Ha neked ez nem eleg gyors, akkor nem tudom, legyen gondolatolvaso a kapu, vagy mi?

> Mert ezt a rendszert aztán nem integrálják sehová, megy a levesbe

Ugyan tevedhetek is. De en ezt nem tartom valoszinunek.

"Esetleg probaltal mar ilyet, mert en nem egyszer utaztam QR koddal vonaton, es semmi ilyesmi nem volt."
Rendszeresen. És amióta egyre többen, a kalauzok egyre inkább nem tökölnek az összes jegy leolvasásával.
És mégegyszer: a vonat nem tömegközlekedés. Szerintem egy nap nem utazik annyi ember az országban vonaton, mint csak a 2-es vagy 3-as metrón.

"De nem veletlen linkeltem a videot a belepteto kapurol, gyakorlatilag megallas nelkul lehet atsetalni rajta"
Te, marketingvideót én is tudok csinálni, bár én figyelnék, hogy a háttérben ne látszódjanak azok az emberek, akiknek láthatóan lassabban megy a dolog, mint a begyakorolt „színésznek” :D

1. Ezt pont en irtam nekes, hogy miota :)
2. Alairt szerzodesek vannak az europai fejlesztesi bank es egy nemet ceg fele. Az tobb honap csuszast okozott, hogy az e szemelyit belevegyek, mert a banknak is jova kellett hagynia. Biztos, hogy rfidre epul.
3. Sajnos. Haromhavonta egy uj busz araert. Es kb te vagy itt az egywtlwn, akinwk egyetelmuen tetszik.
4. Hurra. Papirberletet felvillantani is. Ja nem, mert ott a tokban egybol mellette a szemelyi.
5. Reptee tovabbra is egyszeri beleptetes, a berlet meg nem.
6. A linkelt dokumentumban a qr betukapcsolat egyszer sem szerepel. Koszi.

7. Amit tovabbra is basztal megtenni, az a gyarto honlapjanak atnezese, illetve a nejp-nek valo utana nezes.

Gazdasagi indokot meg tovabbra sem tudsz hozni tobb szazmillio elbaszasara, illetve alairt szerzodesek felbontasara a qr kod miatt.

1. Es? Az informacio, az informacio. Bizom benned annyira, hogy ebben a kerdesben bamondasra is hiteles forraskent tekintsek rad
2. Azert megneznem azt a szerzodest, itt mar jobb biztosra menni
3. Mi tetszik nekem?
4. valahol vagy elcsusztal a szamolassal, vagy nem ertem
5. nem tudom, en a buszra is csak egyszer szallok fel, meg a metrora is
6. Ja, nem tudtam, hogy ennyire keptelen vagy konkret dolgoktol elvonatkoztatni, es a mogottes folyamatokat latni

7. Minek? gelei mar utananezett. Nem akarok kocsog lenni, de most neked kene huznod erre valamit, mert a "lehet" az nem kielegito.
https://hup.hu/node/154459#comment-2122015

Gazdasagi indok arra, hogy miert is jo egy europai integralt rendszerben lenni? Hmm...

Fentebb kifejtettem a hivatkozásodra válaszolva, szerinted nem kontextusban: a QR-kód KURVA LASSAN KEZELHETŐ az NFC-hez képest. Ez tény.
Az EU pedig nem mondja meg, hogy milyen módon kezeljenek jegyet közlekedési vállalatok. (Ha szerinted igen, akkor neked szólt az Állítsuk meg Brüsszelt! kampány, viszont eme célközönséggel felesleges vitatkozni.)

https://hup.hu/node/154459#comment-2121738

> Az EU pedig nem mondja meg, hogy milyen módon kezeljenek jegyet közlekedési vállalatok. (Ha szerinted igen, akkor neked szólt az Állítsuk meg Brüsszelt! kampány, viszont eme célközönséggel felesleges vitatkozni.)

Nem-e?

https://ec.europa.eu/transport/sites/transport/files/themes/its/road/action_plan/doc/2013-urban-its-expert_group-guidelines-on-smart-ticketing.pdf

Könyörgöm ne azt a videót mutogasd, vedd meg a rohadt jegyet, menj oda egy ellenőrhöz, és nézd meg mi történik. Ki a francot érdekel hogy az a rendszer ott milyen gyorsan megy, ha ez itt van most?

Sejtettem, hogy leragadtal a _ma_ban es nem tudsz eloregondolkodni ket lepest.

"Szoval akkor a MAVnak legyen egy elovarosi NFCs rendszere, meg legyen egy QR kodos rendszere az orszag tobbi reszere? Eszednel vagy?"

Olcsóbb, ha a mávnak van egy komplex qr és nfc egyben rendszere, mint hogy a BKK-nak legyen.

Szivesen latnek errol kimutatasokat.

Bizonyára számodra ugyanúgy elérhetők ezek a dokumentumok, mint számodra, szíved joga kikeresni és ellenőrizni.

Ne haragudj, en folyamatosan hozok linkeket es hivatkozasokat, de masoktol ezt meg nem lattam. Azert ne en bizonyitsam mar amit te allitassz, nem tesz jot a vitanak.

Én pedig nem vitatkozom, csak elmondom a véleményem, meg amit látunk. Nem kutatók vagyunk, nem tanulmányokat írunk. Beszélgetünk egy témáról, ami konkrétan az, hogy a bkk hogy elcseszte ezt a rendszert, és hogy felesleges volt-e vagy sem.

>"Ha az EU azt mondja, hogy a vonatokon marpedig QR kodos e-ticket kell"
>Nem mondja.

The EU has an ambitious strategy for rail: the creation of a single, efficient and competitive market for rail throughout Europe. It aims to achieve this through:

Opening rail markets;
Promoting competition;
Tackling barriers to market entry;
Harmonisation of technical specifications (interoperability)
Harmonisation of safety standards and certification.
The European Commission has put forward several legislative "packages"– successive steps towards a common legal framework for infrastructure management and operations.

ORR's involvement in European policy has two main elements:

Influencing the formation of EU law, so that the best possible result is achieved for the UK rail industry;
Implementation of EU law, in the best way for the UK.
So far we have had success in achieving EU legislation that is compatible with the UK model, and implementation has not been disruptive for the UK rail industry.

http://www.orr.gov.uk/about-orr/what-we-do/the-law-and-our-duties/eu-law

Ebben egy szó nincs QR kódról...

Kiemeltem, fent hoztam nyugati peldakat. Cafolj meg.

Cáfolat: az az Interoperability nagy valószínűséggel nem az az interoperability, amire te gondolsz, hanem az, hogy milyen tengelytávval mehetnek a vonatok, milyen szélesek lehetnek, milyen magasságúak lehetnek, a síneken mekkora lehet a legnagyobb szintkülönbség, hol lehet üríteni a WC-t stb.
http://www.era.europa.eu/Core-Activities/Interoperability/Pages/home.aspx

Vagyis azok a dolgok, amik ahhoz kellenek, hogy a határon ne kelljen mindenkit lerugdosni a vonatról és átültetni egy másikba...

pl. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32014H0881 - nézd végig a táblázatot.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

"Harmonisation of technical specifications (interoperability)"

Miből gondolod, hogy ez csak és kizárólag QR kód lehet, semmi egyéb megoldás? Pláne miből gondolod, hogy itt az elektronikusan értékesített jegyek ellenőrzésére gondolnak? :)

"Under ideal circumstances, a passenger should be able to plan and book a trip across Europe using different transport modes as easily as making a common domestic journey using only one transport mode. One-click search, one-click booking, and one-click payment and travel entitlement issuance.

...

Secondly, the customer should additionally have easy (one-stop-shop) access to online booking, payment and ticketing services, allowing for the conversion of such journey plans into purchased trip entitlements, including additional assistance in the case of delay or interruption of travel services (on-trip information, advice and re-accommodation).

...

Most transport operators offer online travel information, booking and ticketing as part of their customer service and sales strategy. The user can browse the schedule and fare database, usually of one transport operator at a time, and filter search results by various items via the transport operators’ website. Subsequently, they can book the preferred itineraries on the same webpage. The e-ticket can either be downloaded or be delivered by email. E-tickets contain unique QR-codes and bar codes for validation on the train or at the airport."

https://ec.europa.eu/transport/sites/transport/files/themes/its/studies/doc/20140812-july9thversion-awtfinalreport.pdf

Ugyanonnan:

Idézet:
On the one hand, paying via NFC is faster and less complicated because no visual
information is to be transmitted
. On the other hand, security and fraud risk may be an issue regarding the possibilities of hacking into a wireless system. Therefore, reliable security systems need to be implemented. Whereas there is always a certain risk that someone might be able to gain access to a secure connection, this risk does not occur with bar and QR-codes, because a visible connection is necessary for validation. As bar and QR-codes are often hard to read with handheld-scanners, a product innovation making use of light signals is available for a limited number of smartphones.

While a smartphone and mobile payment app are required to use such systems, credit card companies have invented the contactless credit card. This works very similar to the solution using NFC-enabled smartphones, but is not dependent on a working smartphone or even a mobile Internet connection. However, the risks are the same. The RFID chip may be scanned by third parties; hence the risk of fraud is equally high

(kiemelés tőlem)

ui.: és egyébként az idézett szöveged továbbra is csak azt állítja, amit eddig mi sem tagadtunk: vonaton és repülőn működik a QR, mert nincs szükség nagy áteresztőképességre.
ui 2.: Az állandóan hivatkozott leolvasódra: a mai napig van, hogy a lényegesen egyszerűbb sima vonalkódokkal küzdeni kell és a végén marad a pötyögés a boltokban, pedig annak a technológiának a tökéletesítésére volt pár évtized (és a nyomtatás [megjelenítés] kontrollált eszközzel történik)...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

"2013-ban indult, tehat valamilyen szinten tesztelve van mar."

Tulajdonképpen azóta konstans szar, napi szintű problémákkal, amelyekkel csak a kallert és az utasokat szívatják fele-fele arányban...

A MÁV-nál a szolgálati mobillal olvasnak QR kódot és a szolgálati lézeres lófasszal pittyegnek le minden mást, igazából már a bevezetéskor ki kellett volna vezetni a MÁV-os szart.

Akkor ezt a kerdest majd az ido megvalaszolja :)

Szerinted ugyan annyiba kerül a kettő? Megnézted a leszerződött kivitelező oldalát, hogy van-e ilyen termékük?

Meg fogsz lepődni: Minden jegy ilyen. Csak a rendszer elve szar. Most már szinte mindenhol digitális jegykezelő van, ami egy időbélyeget nyom a jegyre, csak ki kellene mondani az egyszerű szabályt - mint a legtöbb nagyvárosban tőlünk nyugatra - hogy a kezelt jeggyel X időn belül oda mész, ahova akarsz, annyi átszállással és olyan járművel, amennyi épp kell.
Csak nálunk rettegnek attól a ~0,2%-nyi utastól, akik épp _lehet, hogy_ megjárják az útjukat oda-vissza, vagy átadják valakinek a jegyet az érvényességi időn belül, "hatalmas károkat" okozva ezzel

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Az oysterrol annyit tudok hogy mukodik. Igen jol. Mindenkinek van a csaladban. Az utasok fizetik a kartyakat. Nem kerul semmibe az uzemeltetoknek (megvetetik veled eloszor) Most mar van NFC tamogatas itt is (UK) sokaig nem volt azt hiszem 2-3 eve vezettek be 14 ev vege fele talan.

Szoval csak annyi, hogy nem kene feltalalni megint a melegvizet mert leginkabb az kerul milliardokba...

https://www.youtube.com/watch?v=JCGrOE3uMb8

A melegviz feltalalasa es az implementalas kozt oriasi kulonbseg van.

Nem vonatrol beszeltunk. Az oyster londonon belul ugyanigy mukodik.

Ja, nem tudtam, hogy QR kodot csak vonathoz lehet hasznalni. En kerek elnezest.

Az egy masik ceg de ne zavarjon.

Egyezzunk meg annyiban, hogy a jelenlegi foshalmaz megoldas ezer millio fenyevnyire van egy mukodo oystertol. qr kod baszakodas naponta felmenni ervenyesiteni. Masik forumban valaki mar leirta a tutit. Bemasolom engedelmeddel:

az a baj, hogy ez így olyan, mint amikor kovácsbélának kiadják, hogy legyen valami ami nagyon digitális nagyon online nagyon okostelefon nagyon maxisecure (lol) aztán mivel ő ezeknek a felét se érti mert 30 éve tarifál a vállalatnál ezért kiadja az onoka óvónénijének, hogy valamit találjanak ki a gyerekek a nyári táborban ha már úgy is azt az ördögi szerkezetet nyomkodják állandóan.

na az lesz ilyen, amikor mórickáék belendülnek, hogy "húúú húúú akkor legyen online, meg húúú wááá qr kód is legyen benne meg óvónéni óvónéni csak okostelefonos legyen megvan megvan legyen loginos is és u-u-u-u személyivel legyen érvényes meg meg meg meg"

Mi a baj a QR koddal? Miert csak vonatokhoz hasznalhato? Meg mindig nem ertem.

Koncepcionalisan mi a baj vele, nem erdekelnek az implementacios hibak.

Most lehet nem kéne a mávos tapasztalatból kiindulni, de ami kényelmes egy IC-n ücsörögve, az nem az metrókapun tolongó emberek közt, vagy épp tömött buszon kapaszkodva.

A MÁV-nál speciel pont halálosan kényelmetlen a QR kód, merthogy IIRC online kapcsolatot igényel(t) a cucc, az pedig nincs mindenhol a vonatsínek mentén.

Nem mindegy, hogy nekem kényelmetlen (és tart fel), vagy annak, aki ellenőrizni akarja. Egy három órás úton pont nem érdekel, hogy fél percig vagy egy percig bénázik-e a kaller a jeggyel.

Ráadásul azt ki is lehet nyomtatni, nem kell telefonon mutogatni.

> Ráadásul azt ki is lehet nyomtatni, nem kell telefonon mutogatni.

Jó, de attól még, hogy kinyomtatod a PDF-et, a kallernek még nem lesz stabilabb a netpakcsolata, amivel a kinyomtatott PDF-et ellenőrizné.

+összegyűrődik, olvashatatlan lesz
+MÉG EGY fecni, amit magaddal kell hordanod
+recycled papírról szarabb leolvasni (az a szürkés nyomtatópapír, máv kallerek se szeretik), és bizony sok cégnél ilyen van már, ha melóban nyomtatnád...

Továbbra sem érdekel, hogy a kallernak mennyi idő. Én szépen ülök a helyemen, átnyújtom, ha végzett meg visszaveszem. Nem kések le semmit.

Szokott itt is tolongas lenni vonatrol leszallva, nincs semmi gond a QR koddal. Lesz egy kis beleszokasi ido, mig mindenki benazik, meg anyazik, aztan valoszinuleg ez is kialakul majd.

+1, elég sok szálon fut a sztori

Én QR-kóddal leggyakrabban az automatás (parkoló, vending machine, stb.) fizetéskor szoktam találkozni, a Simple appban. A QR kód leolvasása olyan gyors, hogy mire megtörténik a leolvasás, az app még nem renderelte le az előnézeti képet.

Line of sight kell hozzá? Igen. Van jobb opció? Igen. Ettől még cost/benefit szempontból lehet "elég jó" megoldás. Inkább az a kérdés, hogy ha nagy a tömeg, ez mennyire lassítja le a beléptetést - másfelől a mérleg másik oldalán ott van az a tény, hogy ha lassabb is a sztori, így nem lehet a lejárt bérletet egy tizedmásodpercre felvillantva átslisszanni.

"Line of sight kell hozzá? Igen. Van jobb opció? Igen. Ettől még cost/benefit szempontból lehet "elég jó" megoldás."

Te is elfelejted, hogy itt nem egy "nyers" technológiai vita van. Ugyanis ami fix, hogy lesz 10 ezer nfc-s leolvasó, meg 800 nfc-s beléptetőkapu. Erre van meg a pénz, erre vagyunk leszerződve valami német céggel. Magyarán a kérdés úgy hangzik, megéri-e ugyan ennyi qr olvasót beszerezni, plusz lefejleszteni ezt a bughalmazt pár hónapra/1-2 évre, hogy néhányan mobillal mutogassanak bérletet.

> Ugyanis ami fix, hogy lesz 10 ezer nfc-s leolvasó, meg 800 nfc-s beléptetőkapu. Erre van meg a pénz, erre vagyunk leszerződve valami német céggel. ... pár hónapra/1-2 évre, hogy néhányan mobillal mutogassanak bérletet.

Na errol szivesen olvasnek tobbet. Hol erhetoek el a megrendelt leolvaso/kapu muszaki parameterei?

http://rigo.bkk.hu/mi-a-rigo

Meg érdemes cikkeket is keresni a témában.

Sajnos a linkelt oldalon sehol nem talalom, hogy a kapuk csak NFC kepesek lennenek, es ne lenne bennuk QR kod olvaso.

És még az sincs leírva, hogy nem adnak cukorkát minden ezredik utasnak.

Cukorka nem erdekel, viszont forras erre annal inkabb:

"...Ugyanis ami fix, hogy lesz 10 ezer nfc-s leolvasó, meg 800 nfc-s beléptetőkapu..."

Szemét leszek. :-) Keresd meg:
„10. Melyek az új jegyrendszer legfőbb elemei?
Az elektronikus jegyrendszer működésének alapját a központi elszámoló rendszer jelenti, amely nyilvántartja a kártyákat, a termékvásárlásokat és az egyenlegfeltöltéseket, elvégzi az utazásiár-kalkulációt és a kapcsolódó pénzügyi elszámolásokat, valamint támogatja az új, integrált értékesítési csatornákat.

A legtöbb metró- és a kiemelt HÉV-állomásokra mintegy 800 automatikusan működő be- és kiléptetőkaput telepítenek, az ellenőrök pedig összesen több mint 600 új, hordozható kézi készülék segítségével végzik majd munkájukat, amelyekkel könnyen és gyorsan ellenőrizhetik a kártyák érvényességét.

A rendszer része a 2500 járműre (buszra, trolibuszra, villamosra) felszerelendő mintegy 10 ezer új érvényesítőkészülék; a kapuval nem lezárható HÉV-állomásokra pedig 450 állomási érvényesítőkészüléket helyeznek ki.”

Ott van a linken, csak le kell görgetni.. amúgy használd a googlet..

De ha nagyon ügyes vagy, megtalálod, hogy mi a cég neve, akikkel már leszerződtek, és megnézed a honlapjukat, hogy milyen termékeik vannak.

Szvsz. a leolvasás sebessége. Fentebb írtad a reptereket: nagyságrendi különbség van egy reptér vagy egy vonatállomás és egy tömegközlekedés szükséges áteresztőképessége között. A reptéren nem lepődsz meg/anyázol, ha sor van előtted a check-innél, mert köteles vagy úgy időzítve kiérni, hogy még akkor is felférj. Ott belefér az, hogy 10 mp egy utas QR kódját leolvasni (különösen, hogy egy több perces procedúrát váltasz ki vele), még a MÁV-on is többnyire belefér, hogy a kalauz szerencsétlenkedik a leolvasóval, mert hosszú az út [és az elindulásnak nem feltétele!].

A helyi tömegközlekedés annyiban más, hogy ha "percalapon" számlázol, akkor a be- és kijáratnál kell azonosítanod (mint a reptereken), viszont az ugyanakkora utazóközönségnek nem lesz türelme a 10 mp-s leolvasást megvárni, mert nem egy órával korábban ér be az állomásra.

És persze, jó eszközzel és jó megjelenítővel nincs 10 mp egy leolvasás - de ehhez két feltétel kellett. Az NFC ebből a szempontból szerencsésebb, mert kiszámíthatóbb.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ld. gelei fentebbi hozzaszolasa, plusz az enyem a videoval: https://hup.hu/node/154459#comment-2121691

Oysterral meg erintek es mar nyilik is a kapu. Jo a QR kod csak nem erre kell hasznalni.

Ha már sebesség: Le se kell mindegyiket olvasni, szúrópróbaszerűen és a gyanúsabbakat bőven elég.

Btw igen.

Hogy lassu mint a picsa nem metrozashoz nagyvarosi kozlekedesre van kitalalva. Persze meg lehet valositani, regen a ruszkiknal minden villanyoszlop mellett egy katona allt szoval semmi nem lehetetlen csak esetleg nem praktikus.

Nezd mar meg azt a kurva videot az eg szerelmere :D

> plusz az enyem a videoval: https://hup.hu/node/154459#comment-2121691

Megneztem. Fasza.

Es akkor terjunk vissza oda, hogy van egy fem oszlopod egy nfc tag olvasoval vs egy csodaolvaso bevezetese. Nem latom azt, hogy egy ilyen scanner miert nem milliardokba kerul (mert ugye innen indult a szal hogy en el akarok kolteni nemtudom mennyit)

A mostani qr olvasas az ellenorok kezeben mibol all es mennyi idobe telik mig leolvassak es megallitanak? Es mennyibe kerult?

> hogy van egy fem oszlopod egy nfc tag olvasoval

Nem egy fem oszlopod lesz, hanem mar rogton egy integralt csodaolvaso, kulonben hogy ellenorzod/kezeled a papir alapu jegyeket?

> Nem latom azt, hogy egy ilyen scanner miert nem milliardokba kerul

Ugyan itt csak hasra utok, de szerintem maguk a szenzorok "filleres" tetelek, amik milliardokba kerulnek, az a hatorszag, azaz az infrastruktura, ami a beolvasott adatot ertelmezi is.

> A mostani qr olvasas az ellenorok kezeben mibol all es mennyi idobe telik mig leolvassak es megallitanak? Es mennyibe kerult?

Nem tudom. En csak azt latom, hogy nagy a picsogas, hisztizes, siras, de hogy ez a kesobbiekben talan egy fontos eleme lehet a MAV es a BKK kozti atjarhatosagnak, az lathatolag senkinek eszebe se jutott.

Helló, nem lesznek papír alapú jegyek. Le volt írva a linken. Így csodaolvasó sem.

"de szerintem maguk a szenzorok "filleres" tetelek, amik milliardokba kerulnek, az a hatorszag, azaz az infrastruktura, ami a beolvasott adatot ertelmezi is."

Gratulálok.

"Nem tudom. En csak azt latom, hogy nagy a picsogas, hisztizes, siras, de hogy ez a kesobbiekben talan egy fontos eleme lehet a MAV es a BKK kozti atjarhatosagnak, az lathatolag senkinek eszebe se jutott."

Itt láthatóan te vagy ráizgulva a qr-kódra, és csinálod a fesztivált, hogy másoknak miért nem tetszik. A Máv-BKK átjárhatósághoz meg csak annyit, hogy előbbinél van vonatonként 1-2 kalauz, utóbbinál meg tizensokezer eszköz, a te nagy ötleted pedig az, hogy utóbbi alkalmazkodjon előbbihez.

"Helló, nem lesznek papír alapú jegyek. Le volt írva a linken. Így csodaolvasó sem."

Nekem mast sugott a tunderke:

> 23. Lesz átmeneti időszak, amikor párhuzamosan fut majd egymás mellett a papíralapú, illetve az elektronikus jegyrendszer?
> Igen, hiszen a projekt több ütemben valósul meg.

"Gratulálok."

?

"Itt láthatóan te vagy ráizgulva a qr-kódra, és csinálod a fesztivált, hogy másoknak miért nem tetszik. A Máv-BKK átjárhatósághoz meg csak annyit, hogy előbbinél van vonatonként 1-2 kalauz, utóbbinál meg tizensokezer eszköz, a te nagy ötleted pedig az, hogy utóbbi alkalmazkodjon előbbihez."

?

Átmeneti időszak.. és azért fogják ellátni extra eszközökkel a kapukat. Véletlen sem meghagyják az újat párhuzamosan a régivel. Ehhez és a két kérdőjeledhez is csak annyit szeretnék fűzni, hogy nem kellett volna aludni az egyetemi közgáz órán.

"Ugyan itt csak hasra utok, de szerintem maguk a szenzorok "filleres" tetelek, amik milliardokba kerulnek, az a hatorszag, azaz az infrastruktura, ami a beolvasott adatot ertelmezi is."

Biztos? Van napi ~5 millió tranzakció, ehhez azért nem kell egy halálcsillagot felépíteni milliárdokból...

Szerk fentebbrol: ja ertem mar, azt hitted, hogy en konkretan UK-rol kerdezlek. Nem. Engem az erdekel, hogy miert kene egy az egyben a kinti peldat kovetni, azaz vonatokra QR kod, metrora NFC? Es amikor London elkezd konvergalni es bevezeti a QR kodot, hogy ugyanazzal a jeggyel tudj vonatozni, meg metrozni is, akkor meg majd az lesz a picsogas targya, hogy nalunk miert nem gondolkoztak elore, most le kell cserelni az osszes masinat jajjajjjajjjj

Miért gondolod, hogy a qr kód jobb, mint az nfc?
Miért gondolod, hogy London abba az irányba konvergálna?
Miért gondolod, hogy az nfc-s masinákat kellene lecserélni a qr kódos olvasók előtérbe helyezésésére?

> Miért gondolod, hogy a qr kód jobb, mint az nfc?

Nem tudom hogy ő miért gondolja. Ha nem vagyok teljesen hülye, akkor az NFC lassú és összeakad a többi kártyával, míg a QR beolvasása és értelmezése 0 ideig tart.

"míg a QR beolvasása és értelmezése 0 ideig tart"

Nekem az a tapasztalatom, hogy végtelenszer több ideig tart nullánál a QR kód beolvasása. Főleg mozgó járművön sötétedés után.

papír esetén persze, de azért a telefon képes fényt kibocsájtani -már ha nem merül le- (persze ha lemerülne akár lehet pl powerbank is az ellenőr közelébe -ha kezelni akarnák ezt a problémát-, de megjegyzem, hogy ezzel az erővel mikrohullámú sütőbe betéve az NFC-s eszköz is működésképtelenné válik és ugyan úgy probléma, ha nem működő kártyát adsz az ellenőr kezébe vagy épp a beléptető kapuhoz)

Sokat gondolkodtam amúgy NFC vs QR kódos megoldás kapcsán. Automata kapuk esetén NFC.... kapuk nélkül (pontosabban biókapu alias ellenőr esetén) pedig QR kód a _jobbnak tűnő_ megoldás.

QR kód esetén személy szerint a dinamikus OTP-s offline generálós megoldás tetszik, mert megoldást nyújtana adatkapcsolat hiányára is.
A másolással kapcsolatos aggályok kezelésére azt lehetne, hogy pl egy kulcs online kapcsolat esetén újragenerálódna a központ, a felhasználó és a telefon egyedi adatai alapján bizonyos időközönként.
Ezen felül még log elemzéssel is szűrni kell a használatot (pl ellenőr képernyőjén sárga jelzés, hogy az adott kód használója régen jelentkezett fel kulcscserére így gyanús és alaposabb ellenőrzés szükséges... ). Teljesen kivédeni úgysem lehet, mert pl interneten keresztül folyamatosan megosztott alkalmazásadatok vagy épp virtualizált android egy felhőbe és annak a képének megjelenítése két különböző eszközön stb miatt.

Lehet még akár az ellenőr számára olyan vizuális segítséget is adni, hogy a QR kód mellett egy színkód is lenne, ami óránként v. félóránként változik és a saját kütyüjén látja az aktuálisat és összehasonlítja a felhasználónál levővel így gyorsítva az áthaladást. 6 különböző négyzet egymás mellett, melyek színe és sorrendje más és más random központból vezérelten amolyan fingerprint szerűen (jó lehet sok mastermind -et játszottam :-), de attól még lehet segítség)- így aki online van és friss annak max szúrópróba ellenőrzésre kell számítania, mindenki másnál alaposabb ellenőrzés várható.

Pont a „biokapu” esetén macerásabb a QR-kód, mert két embernek kell relatív mozdulatlanul tartani az eszközeit.
Az adatkapcsolat hiányára pedig van egy tök egyszerű megoldás: A kódnak tartalmaznia kell a jegy/bérlet típusát, érvényességének kezdetét és végét, valamint a fényképbe rejtett vízjelet, az egészet a BKK szervere digitálisan aláírja, innentől nem kell adatkapcsolat. Hiába csinálok másolatot, ha kicserélem a képet, bukta.

"papír esetén persze, de azért a telefon képes fényt kibocsájtani"

Telefonnál tipikusan a tükröződés a probléma... néha fél perc is eltelik, mire sikerül mindkettőnknek olyan szögben tartani a telefont, hogy a képernyőn jól látható legyen a QR kód. Én napi sokszor napi szinten szoptam ezzel, szóval nem a levegőbe beszélek... :)

Érdekes, hogy a kínaiaknak valahogy sikerült ezen a problémán túllépniük. Legalábbis Horváth Lilla vlogjában többször látni - és asszem említi is - hogy igen elterjedt fizetési forma, hogy a telefon kijelzőjén megjelenített QR kódot olvassák.
Saját tapasztalat, hogy a K&H e-banki belépéshez - illetve a tranzakciók aláírásához - a laptop kijelzőjén megjelenített QR kódot kb. minden esetben könnyedén olvasta a mobil app.

Ave, Saabi.

A kínaiak -- tekintve a betűjeleik komplexitását -- már eleve szinte folyékonyan olvassák a QR kódot... ;)

"QR kód esetén személy szerint a dinamikus OTP-s offline generálós megoldás tetszik, mert megoldást nyújtana adatkapcsolat hiányára is.
A másolással kapcsolatos aggályok kezelésére azt lehetne, hogy pl egy kulcs online kapcsolat esetén újragenerálódna a központ, a felhasználó és a telefon egyedi adatai alapján bizonyos időközönként. "

Ez sem tökéletes, mert vagy nem elég gyakori a kulcscsere hogy hatékony legyen, vagy sok adatforgalmat generál/aksit merít. Eleve vicces, hogy ugyan annyiba kerül, mint egy papír alapú bérlet (még a MÁV is képes adni 3% kedvezményt), nem hogy még az adatforgalmat is fizessük.

szerintem elég lenne az adatforgalom a felmutatás előtt, s akkor generálni... azaz a program megnyitásakor vagy előtérbe híváskor... ha pedig nincs adatkapcsolat, akkor az utolsó kulccsal, max alaposabb vizsgálatot kap az ellenőrtől, ha úgy ítélik meg...

"ha pedig nincs adatkapcsolat"

Egyébként biztos vagyok benne, hogy a spanyolviaszt találom fel, de ez miért olyan nagy probléma?

Nem lehetne adatkapcsolat híján egy handshake-t és frissítést lebonyolítani SMS-ben? Illetve nem biztosíthatna a szolgáltató egy számot, amin ez ingyenesen történik?

Jogos a felvetés, de ugyanez van a mobilparkolás esetében is, sőt(!): ugyanannyi a parkolódíj mintha aprót dobálnál be + fizetsz "kényelmi díjat" hívásonként, + a telefonköltség...

Ott legalább kiváltja az aprópénzt, én például ha autóznék csak ezért kellene aprópénzt tartanom, postán sorba állni, stb. Ergo ott tényleg én is látom előnyét. Itt viszont elenyészőt, sőt nekem személy szerint még kényelmetlenebb is lenne.

Nalátod, milyen jó, hogy ugyanannyiba kerül, akár kérhetnének pluszban "kényelmi díjat" is :)
Bár az eddigi fejlemények alapján inkább valami bohózati felárat kellene fizettetni :)

Én az oystert az amúgy is mindig nálam lévő paypass-os hitelkártyámmal használom.

Esetleg néha a telefonommal (nfc és android pay).

Ezek pont azok a dolgok, amik amúgy is ott vannak a zsebemben.

Persze, ha valakinek nincs okostelefonja és nincs paypass-os bankkártyája, akkor kérhet egy oyster kártyát.

Akkor Oyster helyett olyan mintát kell keresni, ahol a nálad lévő eszközökkel igazolhatod az utazási jogosultságot. Ha jól tudom*, a MÁV-nél pont ilyen az "otthon nyomtatott" jegy.

Nem hinném, hogy a BKK lenne az első, akinek fel kellene találnia a melegvizet, persze az más, hogy egy rendszert licenc-ben átvenni sokkal kisebb "zavaros", mint magunk összeeszkábálni.

(* autós budapestiként nekem a MÁV szerencsére kimerül a kb. 1 utazás / 5 év sűrűségben, akkor meg megveszem a papíralapú jegyet.)

----------
rohamkocka

SQL injection-re valaki rápróbált már? A 'users' táblára érdemes lenne rápróbálni egy delete-tel. Ha sikerül, akkor legalább nem kell aggódni, hogy ellopják azokat a jelszavakat is, amit még esetleg nem loptak el.

Már ha használnak SQL-t, nem csak egy szövegfájlba mentik az adatokat. Pl.

Nagyon remélem hogy nagyon sokan kerülnek börtönbe ezért.

Ez egy igazán nagyon magyar tipikus történet. 20 éve dolgoznak rajta, elköltöttek rá egy metró árát de még senki nem látta.

Porig kell rombolni mindent ami az államban managemet létezik. Tízezreket kell azonnal utcára rakni mert nem csinálnak semmit legfeljebb a mutyit és százezrek vannak alattuk akik szarért húgyért kidolgozzák belüket hogy az ország működjön.

Nem hiszem, hogy bárki is böribe menne, ha valaki megszívja, akkor az, aki megtalálta a kiskapukat, és az a kis programozó, akinek ki kellett tolnia az appot félkészen, mert fentről rászóltak, hogy most már nagyon kell, nem baj, ha rosszul működik.

https://shop.bkk.hu/webpass/#login:

request headers:
GET /ellenor/kk_svc.vasarlo_login?login=foo&password=bar HTTP/1.1
Host: shop.bkk.hu
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
[...]

Szóval rendben van, hogy https a kapcsolat és úgy tudom az URL is titkosítva megy, de ebben az esetbe a web szerver logjában még ott van plain-text formátumban a userid/passwd. Jól tudom?

Szép találat. Mered jelezni? :)

Nincs értelme, láttad a sajtótájékoztatót, feljelentették azokat akik bug-ot jelentettek. Persze ha szeret kihallgatásra járni munkaidőben és droidvizsgás rendőrnek felvilágosítást tartani informatikából, akkor hajrá.

Jelezni?
Hát úgy gondolom, hogy a BKK magatartására tekintettel, ezért inkább feljelentést kéne tenni. (Bár lehet törvényileg max. csal tiltakozni lehet szmélyes adatkezelés ellen 2011. évi CXII. törvény §21.)
De hátha elő lehetne túrni valami jogszabályt, hogy alapvető hiba (sztem majdnem minden doksiban benne van, hogy user/pwd-re ne használj GET -et) miatt felhasználó adatok harmadik fél számára hozzáférhetőek.
Feltételezem mindenki jóhiszeműen regisztrált az oldalra.

bkk_shop_adatkezelesi_tajekoztato
3.2. A BKK az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés,
megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint
a véletlen megsemmisülés, sérülés, továbbá az alkalmazott technika megváltozásából
fakadó hozzáférhetetlenné válás ellen.

várjuk a pillanatot amikor ismét zseniálisan megválaszolják hogy "nincs logolás, nincs gond" :) hasonlóan a "nem kértünk senkit hogy (pen)teszteljen/"-hez :D

Ez mekkora ! :DDD

LOL

Attol fugg, hogyan van konfiguralva a webszerver logolasa. Siman ki lehet belole csillagozni.

(ui: nem, nem feltetelezem, hogy akar csak eszukbe jutott volna ez (az elozmenyek ismereteben), meg egyaltalan, minek plain text passwordot kuldozgetni _barhogyan_, barhova, de ezek mar csak reszletkerdesek...)

Igen, eszembe jutott nekem is,
de azt már nem az app owner/developer/akármije szabályozza hanem a hosztoló cég rendszergazdája.

Tehát van esély rá, hogy 3. fél könnyen hozzáférjen.

Más...
ha kérem, hogy az én adataimat töröljék a rendszerből akkor a logokból ki fogja törölni?

"ha kérem, hogy az én adataimat töröljék a rendszerből akkor a logokból ki fogja törölni?"

Ha a hw-konfigba is annyi szellemi tőkét fektettek, mint a sw fejlesztésébe, akkor az első áramszünet.

:-D

A DB-ben amúgy is plain text van eltárolva (vagy legalábbis visszafejthetően rendelkezésre áll valahol).

ez kovetkezik a fentiekbol, vagy csak tippeled?

Ez abból következik, hogy a jelszóemlekéztető visszaküldi :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

au.... ez fajt...

A visszafejtheto is ugyanannyira fajdalmas. Nem kell latnia senkinek az en jelszavamat.

nem bizony. csak en gondolom ugy, hogy a jelszavakat egy ideje mar egyiranyu algoritmusokkal szoktak elkodolni es a hash-t tarolni? ezeknek a jokepessegu fejlesztoknek miert nem jutott ez az eszebe? a lefejlesztese kb 2 perc (ok, kell meg tesztelesre is 10-15 perc) mert kb. mindenre van mar kesz lib ami megoldja.

Hasonlót 6-7 éve fogtam egy itthoni banknál. Ott GET requestben ment át a név, kártyaszám, CVC kód (szerencsére https-ben). De néztem, hogy mit keres a webböngésző history-jában ilyen érzékeny adat. Írtam nekik egy emailt, hogy ezt azért nem kellene. Írtak, hogy továbbítják az IT osztálynak. A legközelebbi fizetéskor - pár hónap múlva - már POST volt.

Ez a jobbik eset, amikor hallgatnak az emberre. Ez a sztori jut az eszembe:
https://arstechnica.com/security/2017/03/firefox-gets-complaint-for-labeling-unencrypted-login-page-insecure/

http://wiki.javaforum.hu/pages/viewpage.action?pageId=8683616

Szokás szerint annyi történt, hogy a győztes cég megnyerte valamilyen "oknál" fogva a munkát, amelyet azonnal kiadott valamelyik projektcégének, a projektcég kiadta a megszokott fejlesztő cégének, a megszokott fejlesztő cégnek éppen nem volt elegendő fejlesztője, vagy a szabad fejlesztők éppen nem értettek ehhez a területhez, esetleg még az is előfordulhat nem ritkán, hogy egyáltalán nem csináltak még ilyen munkát. Ebből következően a fejlesztő cég körülnézett a piacon és hamar-hamar-gyorsan-gyorsan felvett mindenféle gyütt-ment olcsó embert az utcáról projektmunkára, esetleg egy-két szakértőbb embert architect pozícióra – de ez ritka dolog egy ilyen projektben, általában a fejlesztő cég valamelyik – szakmából 5-15 éve kikopott – vezetője a fő-fő architect... :)

Ha mindez megvan, akkor sejthető, hogy a tápláléklánc alján már csak a pénz felének a harmada létezik kézzelfogható formában. Ekkor indul be a tényleges munka, amelyet így már alapból 1-2 hónap csúszás jellemez, de a projektvezetők optimisták, hiszen annyi ember dolgozik a projekten, hogy szinte egymást akadályozzák a munkában, így a projektre tervezett idő első fele szép és lassú munkával el is telik.

Persze a megbízó egyre idegesebben toporog, mivel nem lát semmi terméket, ezért a beszállító elkezdi használni a "szerkezetkész" fogalmat, amely ebben az esetben azt takarja, hogy valami GUI építővel összedobnak gyorsan pár képernyőt, amelyen lehet kattintgatni, de a dolog mögött még nincs üzleti logika – lévén a színfalak mögött már harmadszor térnek át gyökeresen más keretrendszerre, mivel az előzőekkel nem tudtak egy-egy feladatot megoldani, a vállalkozói réteg mélysége pedig rengeteg információt torzít el, a fejlesztők sokszor rá se ismernének a megrendelő igényére.

Amint a projekt tervezett idejének a felén túlhalad az idő, a projektvezetők kezdenek idegesek lenni, mivel az alsó szinten a pénz 90 százaléka már elfogyott, de felmutatható prototípus még messze nincs, pedig lassan felhasználói teszteket kellene futtatni. Ekkor a középső projektcég – mint vízzáró réteg – a pánikhangulat elkerülése végett elkezdi akadályozni a kommunikációt a tényleges munkát végző és a pályázatot nyerő cég között. Eközben végtelen prémiumot kezd ajánlani a fejlesztő cég vezetőinek, ha időre sikerül befejezni a feladatot, miközben a megbízótól időt próbálnak szerezni, például arra hivatkoznak, hogy az élesbe helyezéskor erős napfolttevékenység várható, ezért el kell azt halasztani legalább két hónappal.

A fejlesztő cég vezetői a végtelen prémiumok csábító ígéretére elkezdik bevezetni a 16 órás munkanapot, illetve a "minden nap hétköznap" nevű játékot, igyekeznek rábeszélni a projektmunkára beszervezett embereket arra, hogy a karácsony csak egy napos, illetve szombatra és/vagy vasárnapra is bevezetik a szabadság fogalmát. Ha az utolsó senki fejlesztők zúgolódnak, akkor apró hibákra való tekintettel példát statuálnak és kirugnak pár embert, akiket már úgysem tudtak volna kifizetni pénz hiányában.

Ahogy sejthető, a projekt nem fejeződik be határidőre, mivel a tesztek során kiderül, hogy tíz párhuzamos felhasználót már nem bír el a combos szerverpark, s ekkor a fejlesztők fele mindenféle cache megoldások integrálásával kezd bajlódni a saját területén. Amikor már száz párhuzamos felhasználót is elbír a rendszer a terheléses teszteken, akkor kiderül, hogy a fejlesztői gépen fejlesztett és tesztelt alkalmazás furán viselkedik cluster alapokon, mivel az újonnan belépő felhasználók adatai valahogy keverednek a már belépett felhasználók adataival. Ekkor a fejlesztők fele azzal kezd foglalkozni, hogy az rendszerbe került tucatnyi cache megoldások tartalmát összehangolja, hogy elosztott környezetben is tudjon futni a szoftver. Ezek után kiderül, hogy az alkalmazás elkezd memóriát fogyasztani, s az éles terhelés esetén naponta két újraindítással lehetne csak üzemeltetni.

Nagyjából három hónapos késés után kezd a projektet megnyerő cég vezetője rendszeres látogatásokat tenni a helyszínen, hogy jelenlétével és csoki-üdítő-gyümölcs-vacsora kombinációval munkára bírja az alja népet, de a fejlesztők már régen lemondtak arról, hogy valaha működni fog az a kódhalmaz, amelyet most írnak át ötödszörre.

Minden egyes új build után a tesztelők először azt mondják, hogy mehet a dolog, így összetrombitálják a sajtót, hogy most fog élesbe menni ez a nagyszerű termék, amelyhez foghatót
még nem látott a világ, amikor valamelyik fejlesztő talál egy végzetes hibát, amely éles üzemben katasztrófát idézne elő. Ez megy hétről-hétre, a sajtó már csak ásít az újabb próbálkozásra, a projekten dolgozók pedig napról-napra fogynak.

Előbb-utóbb elérkezik az a pont, amikor a projektet – függetlenül annak állapotától – élesbe kell tenni. A projektmunkára szerződött fejlesztők ekkor már legalább kétszer lecserélődtek új arcokra, akiknek fogalma sincs már arról, hogy bizonyos sorok miért vannak bizonyos helyeken a forráskódban, s már csak egy maroknyi keménymag küzd azzal, hogy élesíthető állapotba kerüljön a kódhalmaz. A projektvezetésre átragad a fejlesztők letargiája, és "nekünk már úgyis mindegy" alapon rábólintanak az élesítésre, az önéletrajzokba pedig változatos hazugságok kerülnek, mint például "az utóbbi két évben háromszor volt négytalálatosom a lottón, és most fogyott el a pénz".

A kitett build látszólag egész jól viseli a terhelést és a felhasználók érdeklődését, amikor kiderül, hogy olyan részen van hiba, amelyet senki nem tesztelt és/vagy a teszteset rossz volt, így a visszaálláson kezd gondolkodni a döntési gépezet, a menedzsment pedig egy jól hangzó érvet vesz elő: ez csak egy éles tesztüzem volt.

A mese természetesen kitalált történet, a valósághoz semmi köze nincs.

Ezt miert kellett megegyszer? Ismertuk mar :P

--
L

Ja. Tényleg. :)

Mármint a BKK-nál előadni?

minden sora "deja vu" ként visszhangzik az agyamban - Te is nálunk dolgoztál :-)

Nincs itt semmi látnivaló, kérem oszoljanak:)))

"online értékesítési rendszer az elmúlt napokban kibertámadásoknak volt kitéve, de biztonságosnak tekinthető, leállításnak nincsen oka."

http://index.hu/belfold/budapest/2017/07/18/bkk_digitalis_berlet/

"A vezérigazgató szerint számtalan próbálkozás, trollkodás volt, de sikeres feltörés nem történt. "

a pofám leszakad ezektől... De komolyan...

De ez az igazán szép. ebben úgy minden benne van. Elkúrták. Nem kicsit, nagyon... És még ők állnak neki fenyegetni az embereket?!?!?

"Dabóczi a hekkelésekkel kapcsolatban kijelentette: az etikus hekker megrendelői megbízás alapján, szerződéssel teszteli a rendszert. Minden egyéb jó vagy rossz szándékú hekkelés bűncselekménynek minősül, 3 évig terjedő büntetéssel sújtható."

Az egész tetves bagázs megérdemelne az üggyel kapcsolatban egy feljelentést költségvetési csalás, és hűtlen kezelés témakörben!

"még ők állnak neki fenyegetni az embereket?!?!?"

Mindennapos osztjónapotizmus, csak azért fáj jobban, mint a tegnapelőtti vagy a holnaputáni, mert a mi szakmánk.

+1 hasonlót szerettem volna leírni, de megelőztél. Az hozzá nemértő fél hülye bagázs, avval a rengeteg projekt menedzserrel az élen....

---
debian -> linuxmint -> osx ;)

"Dabóczi a hekkelésekkel kapcsolatban kijelentette: az etikus hekker megrendelői megbízás alapján, szerződéssel teszteli a rendszert. Minden egyéb jó vagy rossz szándékú hekkelés bűncselekménynek minősül, 3 évig terjedő büntetéssel sújtható."

Ezek után merjen bárki állami szolgáltatást indulás után fél éven belül igénybe venni, ha véletlen ráakad egy hibára, lecsukják.

Ha ilyen jól tudja, hogy milyen állat az az etikus hekker, akkor ez jelenti-e azt, hogy a rendszert látta és leokézta egy etikus hekker? Ha meg nem, akkor miért nem?
___
Arany János: Grammatika versben

valószínűleg miután a szakma elkezdett kurvaanyázni, meg tolni a hibákat befelé az arcukba, most jutottak el odáig, hogy egy etikus hekkerrel is meg kéne nézetni a cuccot. Mert kiderült a félreértés, hogy hekkel max jóllakni lehet, biztonságot tesztelni nem. Pedig a menedzserek a mai napig meg vannak győződve, hogy az egyik meetingen valaki hekket emlegetett, mert a hekkernek semmi értelme...

Fejlesztő se látta, hogy jutott volna tesztelő kezei közé?

"egy feljelentést tettek, az ellen, aki a 10000 forintos bérletet 50 forintért akarta megvenni, a többit mérlegelik"

Még ha csak akarta volna.

http://bkk.hu/apps/shop/bkk_shop_adatkezelesi_tajekoztato.pdf

3.2. A BKK az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

3.5. A BKK az adatkezelés során megőrzi

    a) a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult
    b) a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a
    pontosságát és teljességét;
    c) a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak
    szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésére álljanak az ezzel kapcsolatos eszközök.

3.6. A BKK és együttműködő partnerei informatikai rendszere és hálózata egyaránt védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. Az üzemeltető a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik.

Ez mondjuk jól hangzik, de vajon tényleg így van-e?!?!

A google is megígéri.

A Google is árul BKK bérletet?

Nem tudom, láttátok-e már:

"Picit úgy érzem magam, hogy ahogy a focihoz is általában mindenki ért Magyarországon, most hirtelen mindenki etikus hacker lett itthon, legalábbis annak vallja magát. Felelőtlennek érzem azt, amikor valaki azt állítja, hogy bárki feltörheti a rendszert.
Feltörhető a rendszer?

Dabóczi szerint annyira az, mintha valakire rárúgnánk a lakása ajtaját és azt mondanánk, hogy találtunk egy biztonsági rést az otthonán és bejutottunk. Elmondta, bár ő a kocsik nagy részét fel tudja nyitni kulcs nélkül, mégsem teszi – kivéve egy esetben, amikor a híd alatt egy család gyereke magára zárta az autót és ő segített kinyitni. Ez szerinte azonban mégsem biztonsági rés."

http://24.hu/belfold/2017/07/18/fovaros-kibertamadas-volt-a-bkk-online-ertekesitesi-rendszere-ellen/

"A vezérigazgató szerint most már meghaladják a webshopokkal szemben támasztott általános biztonsági elvárásokat, a szolgáltatásnak pedig havidíja van (ami tartalmazza az üzemeltetést, a karbantartást, a biztonsági szolgáltatást, stb.), ami 22-25 millió forint."

Ki lesz az első, aki feljelentést tesz különösen nagy értékre elkövetett hűtlen kezelésért?

HAVI 22 misi ez a fospumpa?!

Azt mondta a jóember, hogy 22-25. Nyilván nem mond nagyobb számot a valóságosnál (az ellenkezőjére azért nem tennék pénzt), szóval szerintem havi 25 nettó tuti van.

minek? amig polt peter a helyen, addig felesleges minden feljelentes.

Amíg "folyik" a "nyomozás" addig se évül el, már ha jól tudom.

a feljelentesek tobbseget az ugyeszseg visszadobja, a nyomozati szakaszba sem jut el.

Ez is egy szép mondat: "Az okos megoldások az okos embereknek való. Aki nem érte el azt a szintet, hogy egy okostelefont tudjon kezelni, annak ez nem egy kényelmes megoldás, így Dabóczi."

... aki nem ért a webfejlesztéshez, az miért csinálja? :)

Draga jo vezerigazgato ur, nem berugjak a lakasom ajtajat, hanem beteszem a kulcsot a labtorlo ala, es a labtorlore pedig kiirom, hogy "nem hagytam itt a kulcsot, ne is keressek".

Inkabb tarva nyitva hagyod...

"Elmondta, bár ő a kocsik nagy részét fel tudja nyitni kulcs nélkül, mégsem teszi "

OK, akkor ez azt is jelenti, hogy holnaptól megszűnik az összes jegyellenőri státusz? Elvégre jegyet/bérletet már pedig KÖLL venni, ami azt jelenti, hogy vesznek is.

Emlékszem a korra, amikor Nyakó meg Szijjártó színvonala hírértékű volt - de ez már a némethszilárdi sztenderd.

" Az elmúlt napokban 150 embert töröltek, akik kamuprofillal próbálkoztak. Köztük voltak olyanok, akik admin vagy adminadmin névvel próbálkoztak, többen pedig azt hitték a róluk készült képernyőmentésekről, hogy azok a rendszergazdához tartoznak. "

He? mit akart ezzel mondani.... ?!?!? :D

Ezt: „Okosnak tűnő dolgokat mondok, hogy ne nézzenek sík hülyének.”
Nem sikerült.
Egyébként kifejezetten érdekelne, hogy mi az, hogy kamuprofil, és miért kell emberi erőforrást, sőt közpénzt (WTF!?) pazarolni rá? Lehet, hogy a BKK–T páros Zuckerberg babérjaira tör? :)

Minek törölni egy kamu profilt?

Nem hiszem, hogy nem fér el az adatbázisban még 150 bejegyzés...

"T-Systems és a Kürt Zrt. szakembereiben bíznak"

Na a Kürt is belekeveredett valahogy. Csak gratulalni tudok mind2nek :)

Gyorsan felkértek egy majdnem 20 éves céget, akikről már gyerek korukban is hallottak, hogy mentsék ki őket a kakiból. :D

"...mire jó az adatok védelme? Semmire. Sokkal szórakoztatóbb a katasztrófákról mesélni, panaszkodni, szidni a főnököt, a beosztottat, a gyártót és a szállítót, mint megkísérelni megelőzni a bajt, ezzel lemondani a kaland lehetőségéről, és dögunalomban élni." ( https://hu.wikipedia.org/wiki/K%C3%9CRT_Inform%C3%A1ci%C3%B3biztons%C3%A1gi_%C3%A9s_Adatment%C5%91_Zrt. )

... hát most van kaland bőven. :D
... ja és ciki hogy T-Systems házon belül képtelen megoldani. :D

A kurt ehhez minek kell? Leolvadtak a HDD-k a szerverekben a 300 latogatotol? Vagy a tobb mint 600!!!!!! kibertamadas miatt?

Legalabb annyi eszuk lenne, hogy csondben maradnak es nem hulyesegeket nyilatkoznak.

ha jól tudom a kürtnek van itsec részlege/iránya/csapata is.

Legalabb annyi eszuk lenne, hogy csondben maradnak es nem hulyesegeket nyilatkoznak.

Ehhez szükséges volna, hogy a nyilatkozók tisztában legyenek azzal, hogy amit mondanak, az hülyeség, vagy legalább egyeztetniük kellene valakivel, aki tényleg ért hozzá, és akinek a szakértőségét ők maguk is elismerik. Mernél-e fogadni, hogy a nyilatkozók ilyenek, és nem csak a hübrisz beszél belőlük? :)

Most hülyéskedtek?
A dilettantizmus iterált baromsággal elkenése nem bag, hanem fícsör.

Debilkét anyukája állatkertbe viszi. Megállnak a zsiráf mellett.
- Anyuuuuu, ez nyúúúúúl?
- Nem, Debilke, ez zsiráf.
- Anyuuuu, jó nagy nyúúúúl.

Van etikus hekker képzésük: 1 950 000 Ft + ÁFA

Bookmark'd, köszi :)

Ezek a sérülékenységek valószínűleg a Kürt jelentésében is ott vannak.

Sőt, Magyarország éppen a BKK prodzsektjével bizonyította, hogy az informatika terén is jobban teljesít, büszke és erős európai ország.

Megvolt az eset ezen feldolgozása?

http://www.origo.hu/itthon/20170718-sajtotajekoztaton-magyarazta-el-a-bkk-mi-tortent-az-elektronikus-jegyrendszer-korul.html

"Az új rendszer néhány nap alatt sajtó és hackertámadások keresztüzébe került"

Csúnya gonosz hekkerek!!!

Írta: HECKER FLÓRIÁN :DDDDD

Az Origo-nál már hónapok óta nem vállalnak névvel propaganda cikkeket.

Erre miért nincs valami szabályozás?

Szerinted? :D:D:D:D:D

És tényleg eljutottunk eddig: "... a most futó rendszer szeptemberig kísérleti jelleggel üzemel..." :D

--
Mobilbarát és reszponzív weboldal készítés

https://www.hwsw.hu/hirek/57531/bkk-online-berlet-t-systems-biztonsag.html

T-Systems: vállaljuk a BKK értékesítési rendszerét
"Örömmel vesszük a hibajelentéseket" - mondta Takács János, a BKK új online értékesítési rendszerét fejlesztő T-Systems Magyarország IT-biztonsági igazgatója, majd néhány mondattal később közölte, hogy személyesen tett büntetőfeljelentést az egyik súlyos hibát kimutató és azt bejelentő felhasználó ellen.

booom....

Ez amit kiemeltél, ugye csak vicc ?

--
openSUSE 42.1 x86_64

Vagy vicc, vagy píár.
Ha az utóbbi, a következő, hupra kitett hirdetésben dicsekedhetnek is vele, hogy milyen kultúrájú céghez van lehetőség csatlakozni.

Már volt balszerencsém megismerni a kultúrájukat, magán és céges ügyfélként egyaránt. Nem véletlen váltottam.

--
openSUSE 42.1 x86_64

A nagyobb blama szerintem, hogy egy ekkora szarhoz a T adja a nevét, és vállalja, hogy ezt ő állította elő...
--
"Sose a gép a hülye."

Miután a BKK exponálta őket, nem nagyon van más, mint a töredelmes bevallás és kanosszajárás (elképzelhetetlen), vagy a legjobb védekezés.

Komolyan, szerinted számít nekik? Igy is ugy is jönnek a miliók...

Itt arról az emberről van szó, aki 50 Ft-ért vett bérletet, ha jól tudom. Ebben az a szép, hogy ez max. csalás, és 50000 Ft alatt eleve csak szabálysértés. Ha minden igaz, az illető ezt jelentette a BKK felé, tehát még ez is nehezen állja majd meg a helyét.
Persze, szép lenne egy Btk. 423. § (2) b. (Aki információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,
bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.), csakhogy a saját böngészőmben én azt csinálok, amit akarok. Még. :)

Ez arról szól, hogy megváltoztattad és visszaéltél vele (azaz nem jelentetted, csak kihasználtad, ergo 50 ft-os bérlettel vereted pesten egész nap.)

--
openSUSE 42.1 x86_64

De nem tette meg, mert asszem már az első hírekben benne volt, hogy bejelentése után elég hamar törlődött a telójáról a megvett bérlet, nem?

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Nem tette, bejelentette. Amúgy is 300 km-re lakik bp-től, hogy is tudta volna használni ?! Fostalicska erőfitogtatás ez..

--
openSUSE 42.1 x86_64

Különben is, onnan tudja, hogy a "hekk" működik, hogy sikerült megvennie ÉS a bérlet megjelent a BKK-s "fiók"jában.

Nem az 50 Ft-al van a baj.

A teljes szolgáltatás ("információs rendszer"), vagyis a böngészőben és a szerver oldalon futó kód is a tulajdonosé, ha a kéréseket manipulálod, akkor szerintem megvalósulhat az adatok jogosulatlan megváltoztatása:

"423. § (1) Aki
c) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,
vétség miatt két évig terjedő szabadságvesztéssel büntetendő."

Nem, a böngésző az enyém. Ennyi erővel, egy random http kérés is büntethető lenne.

Ezek szerint jogom van egy megfelelő request-el más személyes adatához hozzáférni, vagy mondjuk egy netbank esetén más számláját látni.

hát, ha a te session cookieddal ezt a bank lehetővé teszi...

Nem, a normál működés során nem teszi lehetővé.

Ha egy Fistname textbox-ba beírom, hogy Tassadar és ezzel admin jogosultságom lesz, akkor vélelmezhető, hogy jóhiszeműen jártam el.
Ha egy http request-et preparálok és úgy leszek admin, akkor viszont bűncselekményt követek el.

Ez nyilvan hosszu jogaszkodashoz vezetne, de szerintem a mindenkori weboldal 80/443-as portja a szolgaltatas igenybevetele.
Miert? Mert nem a TSys/BKK adta nekem a bongeszot.

és ha egy saját faragású "böngésző" teszi lehetővé azt hogy on-the-fly kicseréljem majd úgy küldjem be ugyanazt a requestet akkor már jó vagyok?
Ha ugyanezt a böngészőt 10-n használják akkor már jó?
Ha ugyanezt a böngészőt 100-n használják akkor már jó?
Ha ugyanezt a böngészőt 1000-n használják akkor már jó?
Ha ugyanezt a böngészőt 10ezren -n használják akkor már jó?
Ha ugyanezt a böngészőt 100ezren -n használják akkor már jó?
[...]
?

"Ha egy http request-et preparálok és úgy leszek admin, akkor viszont bűncselekményt követek el."

Véleményem szerint az API nem a böngészőben a UI, hanem a szerveren lévő API, amit teljes joggal meg tudok hívni akármilyen technológiával...

"Tisztelt bíró úr, én nem hazudtam csak úgy mozgattam a hangszálaimmal a levegőt.. Az sem egy hamisított aláírás, csak egy olyan alakú tinta a lapon, talán nem mozgathatom úgy a kezemet ahogy szeretném??????"

OMFG

Sokan járunk a médimarkt-ba. Van aki kéri az árút fizet és kész.
Egyszer voltam oly bátor, hogy azt mondtam megveszem ha engednek 5000-t.
Elfogadták az ajánlatom.
A bérlet 50 ft-ért ennek digitális változata. Az eladó elfogadta az ajánlatot.
Ez után a vevővel egyeztetve,a hiba miatt elnézést kérve, a 50 ft. visszatérítve vehette volna vissza a bérletet.
Lehet, hogy így tette?!

Kíváncsi vagyok, ha a bérletpénztárnál egy "Havi bérletet szeretnék 50Ft-ért!" mondatra kiszolgálnának, akkor is vajon én lennék feljelentve?

hallottál már arról a trükkről, hogy kicserélik a vonalkódot olcsóbb - de hasonló termékére? a kasszánál - hacsak nem kirívó eset - elfogadják.
Nem, nem szoktam élni a "lehetőséggel".

Persze, és ha kisétálok a termékkel az lopás. De ha inkább jelzem, hogy valami nem oké?

tényleg, honnan tudod biztosan, hogy nem éltél még ezzel a lehetőséggel?
más is átragaszthatta, s te csak levetted a polcról... majd fizettél és kisétáltál. Illetve akár épp a boltos tett rá véletlen rossz vonalkódot, mert még nem élt az akció (rendszerhiba), amit te "kihasználtál" :-)

Vagy esetleg te tételesen végignézed a polcon szereplő vonalkódot majd a termékét minden alkalommal 100%-osan :-)? Illetve megnézed minden termék akciós időszakát, hogy beleesik-e?

Te miért ülsz? adblokker volt a böngészőmben :))

A kérdés az, hogy a böngészőben lévő adat megváltoztatása a rendszer részének számít-e, lásd még adblock.

Tisztelt Bíróság!

A felhasználó csak a portál rejtett "licitálás" funkcióját vette igénybe. Volt egy rejtett input mező az oldalban ami az ajánlott végfelhasználói árat tartalmazta -amit azóta sajnos eltüntettek, így nincs rá bizonyíték-, ahol licitálni lehetett az adott bérlet árára vonatkoztatva :-). Ezt a lehetőséget csak kezdeti "felfutási", népszerűsítési időben "rejthette el" a BKK igénye alapján a fejlesztő cég.
A céljuk bizonyára az volt (lehet ilyet látni az informatikában pl rejtett álláshirdetések stb), hogy a szemfüles felhasználók számára elsőbbséget / kedvezményt biztosítsanak, mely segítségével szélesebb körben ismertebbé váljon a BKK terméke. Ez így is történt, pl a médiákban, közösségi oldalakon stb ingyen reklámhoz jutottak :-D, így a felhasználó indirekt módon többszörös értéket teremtett a BKK számára a hírverés által :-)

A liciten nyertes felhasználó -jóhiszeműen- a fizetést követően jelzést tett a BKK-nak, mivel megítélése szerint az oldal nem felelt meg a 27/2008. (XII. 10.) IRM rendelet "az elektronikus árverési rendszer informatikai alkalmazásának működtetésére vonatkozó részletes szabályokról" c. hatályos jogszabályban foglaltaknak.

Bizonyára a BKK nem jelentette be rendszerének ezen funkcióját az igazságügyért felelős miniszter felé "Az informatikai alkalmazás működtetésének bejelentése és felügyelete" (83/2012. (IV. 21.) Korm. rendelet) szerint.

A BKK haladéktalanul tegyenek eleget a jogszabályoknak és biztosítsák a felhasználó számára a licitálás útján megszerzett elektronikus ingóságot (havi e-bérletet) hivatkozva a sikeres tranzakcióra.
Ezen felül kártérítést helyezünk kilátásba a felhasználó megtévesztése és meghurcoltatása miatt a BKK-val szemben.

Legalábbis az én olvasatomban ez a jogi precedens történt :-)

Üdv:
Csabka

Dehát nem sértette meg jogosultsága kereteit...

> csakhogy a saját böngészőmben én azt csinálok, amit akarok.

Most idézted be a Btk-t miszerint nem?

"Chuck Norris a BKK shopjában jegyet vett a felcsúti kisvasútra!"

Havi 22 milláért reszelgetik ezt a „csodát”.
Egy ütős 8 fős csapat 6-8 havi díjért ennél sokkal jobbat xart volna.

A webfejlesztő vizsgamunkámra 2 éjszaka alatt (egyik abból félig ittas állapotban elkövetve) összeszart webshopom is jobb volt, mint ez az egész ganaj, amiért ráadásul egy "nagy cég" vesz fel nagy pénzt.

--
openSUSE 42.1 x86_64

http://index.hu/belfold/2017/07/21/ejjel_elvittek_a_rendorok_a_bkk_hekkeret/

Most kellene egy botnet-ről lenyomni ddos-szal az egészet a picsába...

Én is most olvastam (hála index push-nak).
Jól felbaxta az agyamat, a kanyjukat. Szánalmas pöcsfejek...

Szánalmas, hogy egy 18 éves kölyökkel izmoznak...

Most majd jól megmutatják a kis szarosnak, hogy kivel baszakodik!

:)

Mi a fasz

Feltalálták a Reversed Bug Bounty programot. Ha találsz egy hibát és jelented, neked kell fizetned, és/vagy leülni pár évet.

Welcome to Magyarisztán,ahol a dolgok fordítva működnek,mint ahogy kellene.

elég lesz..

Miért, elvitetsz a rendőrökkel? :)

nem. hívok neked pár politikuspalántát akik életed hátralevő részének minden napján aktuális faszságokat nyögnek ~be lehetőleg a témához nem kapcsolódóan~ úgy, hogy utána soha többé nem tudsz megjelenni anélkül hogy egy hasonló díszhuszár ne böffentené el magát.

nem tudom mi bajod van, de ok. megegyeztünk,jöhetnek!

Irigylem a problémáidat.

Szerintem írni kéne a T-Systems-nek. Minél több mérnök ír nekik, annál jobb.

(Közben írtam is. Ide: ts_ugyfelkapcsolat @ t-systems pont hu)
--
http://naszta.hu

Mit írtál nekik?

Subject: Bug bounty
Body:
http://index.hu/belfold/2017/07/21/ejjel_elvittek_a_rendorok_a_bkk_hekkeret/ - szégyen.

Nem erre halad az iparág. Nagyon nem.

https://en.m.wikipedia.org/wiki/Bug_bounty_program

Üdvözlettel:
Nasztanovics Ferenc
mérnök

Nem a zügyfélszolgálatnak, hanem a nagy tudományú feljelentgetősnek kell írni.

Ha megvan a címe neked, mutasd! :)
--
http://naszta.hu

T-s e-mail címet viszonylag egyszerű kitalálni.

, ha jól emlékszem.

Ez jó ötlet.

----------------------
while (!sleep) sheep++;

Kösz a címet, én is írtam nekik és erre bíztatok másokat is.
Ha változást akarunk, tegyünk érte.

Köszi a címet, írtam nekik én is.

Esetleg jo lenne tudni faxot vajon papir alapon fogadjak-e...

Arroganciából jeles. Nincs senki a BKK / T vezetők környezetében, aki szólna nekik, hogy ez a műsor lassan groteszkbe fordul és akár PR szempontból is célszerűbb lenne nekik visszavonulót fújni? Olyan észérvekkel is próbálkozhatnának, hogy az általános gyakorlattal ellentétes, amit csinálnak és hosszú távon kontraproduktív.

Így, nem a lényeggel foglalkozik a közvélemény. Csont bedobva.

Miután a büntetőjogi feljelentést megtették, onnan már nem lehet visszavonulót fújni.

A rendőrségnek eljárást kell indítani, ez innen már nem visszafordítható.

Max. úgy, ha leszólnak a fentről a várból és leállíttatják a rendőrséggel a szóban forgó vizsgálatot.

--------

Előállított "Vállalati
Internetszennyező"

Itt jön a fej-vagy-írás: statuálás lesz, vagy a rendőrség-ügyészség-bíróság hármasából valamelyik még mélyebbre nyomja T-t az SK ásott sárgödrében.

Szerintem nem.

Szerintem végigviszik, és elhurcolják a srácot vezetőszálon, azzal a szalagcímmel, amivel az origo is már előállt, hogy "megpróbálta tönkretenni a bkk digitális bérletrendszerét", ha eközben facebookon értekezett másokkal, akkor még a nyakába rakják a "szervezetten" szót is.

Van olyan büntetőjogi kategória amit rá lehet húzni a srácra, mert tjképpen gumiszabály így is meg úgy is lehet érteni. A sráccal szépen "megértetik", hogy ha beismeri, kap egy felfüggesztettet vádalkuval és jónapot. Mindenki "Jól jár", és a vezetői tekintély sem sérül, és minden így jó.

A T meg a szerencsétlen meghackelt áldozat szerepét játsza, aki kétségbeesedten védte a felhasználók adatait, és a rendszer biztonságát összességében megőrizte. A BKK-t és az állami szerveket akik a megbízást a rendszerüzemeltetésre kiadták, elfogadták, ki vagy lefizették, azokat meg kussoltatják.

Ahhoz, hogy a rendőrség leszálljon a srácról ahhoz szerintem az kell, hogy odafentről leszóljanak a "Várból", ahhoz meg az kell, hogy az esetet nagy politikai veszteségként kezeljék, amibe be kell avatkozni.

Ha ez nincs, ha csak pár száz fős elszigetelt facebook betyár nyüszögésének látják, akkor hagyják a srácot a gumiszabályozásos törvényekben megfőni.

--------

Előállított "Vállalati
Internetszennyező"

A rendőrségnek eljárást kell indítania a feljelentés alapján. Az ügyész pedig vagy elrendeli határozatban a nyomozást, vagy nem. Ha a feljelentés után úgy dönt az ügyész, akkor akár a megvádolt személy meghallgatása nélkül is hozhat határozatot a nyomozást megtagadásáról. Illetve a nyomozás megszüntetése is lehetséges még a megvádolt személy meghallgatása előtt.

A gyakorlatban, számos esetben előfordult, hogy a megvádolt személyek meghallgatása nélkül zárult le a nyomozás. Javasolt kereső kifejezés: „az ügyészség megtagadta a nyomozást”.

Ahogy ez a dolog most zajlik, nem úgy néz ki, hogy az ügyészség lezárja majd az eljárást...

szerk: Az elmúlt években számos olyan eset volt, hogy ami finoman szólva is megtépázta az ún. magyar ügyészség szakmai hozzáértését és tekintélyét...

Ha a srácnak az ügyészségre kell számítania, akkor szerintem régen rossz...

--------

Előállított "Vállalati
Internetszennyező"

Nem véletlenül írtam a fenti hármast.
Adott a gonosz kölök, aki leégeti a pjt-t, aminek hosszú ideje az első húeztnézzétekmegnek kellett volna lennie a BKK-nál; de a pjt beáll a járműbénázások által képviselt sorba, csak vaskosabb nemzetközi érintettséggel.
És adott a presztizsből a pjt kétes eredményét megrendelő és a kivitelező: előbbi gyorsan hátralép kettőt, én csak álltam és nézelődtem itten alapon, és nem jelenti fel a kivitelezőt az adatkezelési "bakik" miatt, amely kivitelező viszont feljelenti az első nevesíthető kívülállót.
Mire a jard éjjel kiszáll... mert ez egy ilyen súlyú ügy.

Innen jön a fej-vagy-írás: aki ebbe a gépezetbe bekerül, az megtudja, milyen egy sztochasztikus rendszer - még akkor is, ha senki nem akar statuálni, hát még ha akar.
Ha 1-2 napon belül nem szúrja le az ügyészség a jardot, mint a pengős malacot, akkor az azt jelzi, hogy az akarat megvan, és a srác jól teszi, ha elkezdi belőni Strasbourgot a térképen.

A rendőrség is megszüntetheti a nyomozást. pl. bűncselekmény hiányában.

Szerintem magától nem fogja.

Ugyanis akkor nem vitték volna be az éjszaka közepén, hanem azzal kezdték volna, hogy "tanú"-ként beidézik. Aztán a tanúkihallgatásnak 2féle vége lehet, vagy megszüntetik az eljárást, vagy folytatják és
pl. gyanúsítottként megvádolják. Általában ez is a szokás amennyire tudom, mert tanúként nem tagadhatod meg pl. vallomástételt.

Ha nincs bűncselekmény, akkor nem vitték volna be éjjel közepén (=erőfitogtatás, elrettentés, tekintélyelv). Azért az elég abszurd lenne, hogy a rendőrség csak úgy kirángat egy 18 éves gyereket éjjel az ágyból, aztán ja bocs, nincs is bűncselekmény. / = ez esetben jelentős rendőrségi túlkapás történt/

Szóval szerintem nem fogják bűncselekmény hiányában megszüntetni az eljárást.

----------

A rendőrség szerint nyilván van bűncselekmény, ez esetben 3féle lehet (értelmezés kérdése XLIII. FEJEZET. fejezet):

- tiltott adatszerzés,
- Információs rendszer vagy adat megsértése,
- Információs rendszer védelmét biztosító technikai intézkedés kijátszása.

A 3-ból az egyik. De ezt meg lehet spékelni még üzleti titok megsértésével, illetve azzal, hogy "közérdekű üzem ellen" követték el.

A kormánypárti csicskasajtó egyértelműen bkk-T* oldalon áll, így a srácnak sok esélye nincs. Úgy tálalják az esetet, mintha ő megpróbálta volna tönkretenni a bkk digitális bérletrendszerét.

--------

Előállított "Vállalati
Internetszennyező"

Nem szerzett tiltott adatot, és nem volt a védelmet biztosító technikai intézkedés, így marad a középső.

Ha jól emlékszem konkrétan arról volt szó, hogy a srác a böngésző által küldött http POST -ban cserélt úm. "árat.", mert a bkk ennyire volt tekintettel az adatbiztonságra.

Ezt szvsz egy ideológiailag kellőképpen képzett nyomozó, ügyész értelmezheti úgy, hogy :

"d) elektronikus hírközlő hálózat - ideértve az információs rendszert is - útján másnak továbbított vagy azon tárolt adatot kifürkész, "

Magyarán úgy fogják értelmezni pl. /ex has mondok most valamit:/, hogy a bkk honlap által generált POST http-t ár paraméterét "kifűrkészte", aztán pluszban módosította... De ne legyen igazam !

--------

Előállított "Vállalati
Internetszennyező"

Nem lehet önmagában a d pontot értelmezni, ehhez a pafagrafushoz tartozik:

"422. § (1) Aki személyes adat, magántitok, gazdasági titok vagy üzleti titok jogosulatlan megismerése céljából"

Egy bérlet árára a felsoroltak egyike sem érvényes.

A t- rendszer informatikai gyengesége viszont lehet üzleti titok, ha ideológiailag szakképzett előadó értelmezi.

--------

Előállított "Vállalati
Internetszennyező"

Te nyertél.

Most néztem az rtl-hiradót.
Ott mondták ezzel vitték be gyanúsítottként.

szerk: közbe találtam a neten cikket is.

--------

Előállított "Vállalati
Internetszennyező"

„mert tanúként nem tagadhatod meg pl. vallomástételt”

Azt nem, viszont nem köteles saját magára nézve terhelő dolgokat mondani. Függetlenül attól, hogy tanúként, vagy vádlottként viszik be. Másrészt, kitálalt a nyilvánosság előtt, és ha nem hallgatott el semmit, akkor egy kihallgatás során sem fog tud olyat mondani, ami eddig már nem ismert. De más a helyzet, ha közben megszerezte a BKK/T-System bankszámlájához szükséges belépési adatokat, és átutalt a saját számlájára is némi pénzt. Vagy ha megszerezte a magyar atomrakéták indítókódjait.

De más a helyzet, ha közben megszerezte a BKK/T-System bankszámlájához szükséges belépési adatokat, és átutalt a saját számlájára is némi pénzt. Vagy ha megszerezte a magyar atomrakéták indítókódjait.

Na igen, miután névvel, címmel bejelentette a hibát a bkk-nál. Ez olyan, mintha bankrabláskor személyit adnék át és lakcímkártyát, és kérném a 2-es kassza tartalmát. :-))

Abszolút reális, tényleg valóságnak teljesen megfelel. Hihetetlen hogy erre nem is gondoltam. Mindjárt szólok az alternatív univerzumban ülő másik Osconnak, hogy hozza a gyógyszeremet.

--------

Előállított "Vállalati
Internetszennyező"

Ha a rendőrség a helyzet tisztázása után úgy találja, h nem történt bűncselekmény akkor megszünteti az eljárást. A helyzet tisztázása pedig igényelhet olyan intézkedéseket, mint amik történtek.
Mindegy is, ez egy PR hekk a BKK -s ürge részéről, h a közbeszéd a szegény állítólagos hekker rendőrségi meghurcolásáról szóljon és ne a BKK-s felelősségéről. Lényegében hasonló eredménnyel jár a "tekintélyelvű diktatúra", meg a "fékek és ellensúlyok" idecitálása is. Maszatolás, fókusztévesztés. De lelketek rajta!

azé' ez erősen visszaüthet:)

persze tudjuk, hogy nem nagyon számít mi lesz holnap, a lényeg, hogy ma még meglegyen a hatalom, meg a lóvé. holnap meg csak holnap lesz:)

A helyzet tisztázása pedig igényelhet olyan intézkedéseket, mint amik történtek.

Értem. Tehát szerinted bűncselekmény hiányában bárkit ki lehet rángatni az éjszaka közepén az ágyából és be lehet citálni a rendőrségre vezetőszálon, mert a bűncselekmény hiányának tisztázása ezt az eljárási módot igényli, és erre semmilyen más mód nem áll rendelkezésre. Ezek szerint ezt szeretnéd mondani. Teljesen jó, köszönöm, hogy ezt tisztáztuk. :-)))

Teljesen megnyugtató ! El is kellene törölni a tanúkihallgatás intézményt, cipeljünk be mindenkit vezetőszálon pizsamában szaré', hugyé'...

ne a BKK-s felelősségéről.

Tessék kormánypárti csicskasajtót olvasni. Nincsen felelőssége a bkk-nak. Mindenféle informatikai bűnözők akarták csak tönkretenni a bkk rendszerét, ami teljesen biztonságos. EZ ÍGY JÓ!!!

tessék itt egy cikk egyszer.

meg egy másik.

és még egy másik.

Egy valag pénzt kifizetnek havonta ezért a rendszerért, amiért valamelyik narancsos nyilván megkapta az apanázst, így a rendszert így ebben a formában minden körülmények között működtetni kell. mert EZ ÍGY JÓ!!

A bevezetés utáni sajtótájékoztatón a bkk és a t-* főmuftik mellett a főpolgármester-helyettes is pofavizitet tartott, hogy minden milyen szép jó és modern. ;-)

Ezért aki mégis hibát talál benne, annak meg be kell fogni a száját minden körülmények között. Ha úgy kell, hogy éjjel rángassuk ki az ágyból vezetőszálon, akkor úgy lesz.

Az egész rendszer így működik. A mostani bkk-s eset csak egy apró példa. A szerencsétlen srác meg a rendszer, és a saját naivitásának áldozata. Példát kell statuálni a sráccal, hogy senki ne merjen visszapofázni, ha valami - akár egy apró dolog mint egy bkk webbérlet - nem működik, ahogy kellene.

--------

Előállított "Vállalati
Internetszennyező"

"Ezek szerint ezt szeretnéd mondani"

Nem, ezek a Te gondolataid, engem semmilyen felelősség nem terhel értük.

"valamelyik narancsos nyilván megkapta az apanázst,"

Vagyunk egy páran akik nem lennének egy cseppet sem boldogabbak, ha egy citromsárga szívű vörös/zöld stb kapná az apanázst.

Ismétlem: az egy rossz reflex, h ha történik valami visszás dolog, akkor arra projektáljátok az orbángyülöletet. Ez az eset is tárgyilagosan, szakmai alapon ítélendő meg és nem politikai aspektusból.

Nem, ezek a Te gondolataid, engem semmilyen felelősség nem terhel értük.

Előszőr azt mondod, hogy a rendőrség bűncselekmény hiányában ejtheti az ügyet, aztán azt, hogy teljesen helyénvaló, hogy - tipped szerint "bűncselekmény hiányában" - elviszik éjjel pizsamában készenléti rendőrséggel.

/Mert tanumeghallgatásos beidézés az olyan snassz dolog, azt csak milliárdos sikkasztásoknál alkalmazzák. ;-)/

Jogod van a véleményedhez, azt gondolsz amit akarsz. :-)
A fideszesekkel ellentétben én úgy gondolom, hogy unalmas lenne ha mind egyformán gondolkodnánk.

akik nem lennének egy cseppet sem boldogabbak, ha egy citromsárga szívű vörös/zöld stb kapná az apanázst.

Vagyunk egy páran akit zavar és zavart mindenféle ilyen jellegű apanázs akármilyen színű is legyen. Meg vannak a fideszesek akiket nem érdekel, hogy a narancsosok mennyi apanázst kapnak, csak a fidesz és kész!
Azt nem tudom, hogy néznek tükörbe, miután a főnöküket naponta kapják rajta hogy már saját magának is ellentmond, de nem is érdekel.

Ez az eset is tárgyilagosan, szakmai alapon ítélendő meg és nem politikai aspektusból.

Ennél az esetnél teljesen felesleges szakmázni onnantól, hogy a t-*, a bkk, és a főpolgármester-helyettes együtt pofavizitelt a csodálatos új webes bkk-bérletről, hogy minden milyen szép jó. Majd szembejött a valóság, 50 ft-os bérlet és társai. Majd nekiestek a 18 éves kölöknek, mert bűnbaknak ideális.

Innentől ez politikai kérdéssé vált, amit jól jelez a kormánypárti csicskasajtó eljárása bkk-bérlet-hack ügyben, amihez asszisztált a rendőrség a politikai ügyekben szokásos túlkapásával. A fideszes haverok, csinovnyikok, haveri cégek, csicskavezetők, csicskafirkászok maguk teszik ezt politikai kérdéssé az intézkedéseikkel, minden egyes megszólalásukkal.

Semmi szükség nem volt pl. a készenléti rendőrös erőfitogtatásra "szakmailag", hacsak az nem, hogy a vezetői tekintélyt óvják, és - ismét - megfélemlítsék a népet. Arra sem, hogy t* biztonsági vezetője maga büszkélkedjen a feljelentésével a tévében, úgy mintha kb. egy sorozatgyilkost kapott volna rajta akció közben.

Meg arra sem, hogy ezt az egész szart ilyen tré állapotban élesben üzembe helyezzék. Az, hogy ez mind megtörtént, az a jelenlegi rendszer következménye. Ez az egész ügy, már nem egyetlen ember, vagy egy cég hibája.

- Igen, a normális piaci cégek ezt valószínűleg másként kezelik, normális piaci versenyben más eljárást alkalmaznak, tán más áron, vagy más szolgáltatást is rendelnek. Valaki írta, hogy a T*-nél régebben ezt másképp is kezelték. De ma Magyarországon se nincs normális piaci verseny, se nincs normális piac, csak ez a torz haver nehorthysta ocsmány korrupt maffiaállam a 2 milliós birkatábor nagy örömére. Itt meg ez így megy. Ha Törökországban, Oroszországban vagy más diktatúrában csinálja ezt a gyerek, ugyanezt az eljárást kapja, mint amit itt kap.

Persze te ezt nyilván nem így látod. Így ebben nem értünk akkor egyet és kész.

- Arról, meg hogy mit összeloptak ezzel a szerződéssel megint és milyen minőségben arról meg annyit hogy a fideszes haverok hozzák a tőlük elvárható minőséget és színvonalat ! Több ezer ilyen ügy volt csak az elmúlt pár évben. Volt tegnap is, van ma is, lesz holnap is. Mert megtehetik következmények nélkül.

Eggyel több, vagy kevesebb mit számít, naponta 10esével esnek ki ilyen ügyek a szekrényből.A polti csicskahivatal meg iktatja az összeset a devnullba.

Ha egy ember ilyen mértékű teljhatalmat gyakorol, mint orbánviktorod, akkor nem kell csodálkozni ha a rendszer visszásságai rá hatnak vissza.

Ha nem módosították volna a büntetőtörvénykönyvet, ha nem gondolkodásra képtelen, csak engedelmességre képes narancsos csinovnyikokkal töltöttek volna fel vezető beosztású pozíciókat, ha nem ölnék ki a kreativitást az ország minden szeletéből, ha a rendőrséget és az ügyészséget nem erőfitogtatásra használnák, akkor ez az egész ügy most mind nem lenne ! De ezt mind megtették, úgyhogy ez van és kész ! Erre szavazott a nép ! Ezt akarta. Szóval ez van. És a fideszeseknek ez biztosan így tetszik, és a srác számukra nem több, mint egy közveszélyes internetes bűnöző. Holnap a kedvenc újságjukban is majd ezt olvassák !

----------

U.I: Nem kell sokat várni és az "orbángyűlölet" is büntetőjogi kategória lesz felségsértés címén kb. 2020-től miután királyság lesz ismét... ;-))

Majd 2020-ban gondolj arra, hogy én megmondtam ! ;-)
Nem Orbán akar majd király lenni persze, hanem a nép akarja majd őt megkoronázni szépen, CÖF és társai indítják majd a társadalmi kampányt, / pl. azon a címen, hogy 2/3 parlamentben úgyis egypártrendszer lesz, feleslegesen lassítja a jogalkotást/ aminek a végén a boldog birkasereg örömmel tapsol, ahogy a koronát a fejére helyezik....

off:
Te azt hiszed, hogy orbánt én vagy a hozzám hasonlók a személye miatt gyűlöljük, ez a te tévedésed, én az egész mocskos neohorthysta maffiaállamát gyűlölöm úgy ahogy van, mert semmi másra nem épül, mint hogy egy kb. 2 milliós tömeggel a háta mögött úgy uralkodik a maradék lakosságon, hogy azt szép lassan minden jogától megfosztja, elveszi tőle az életteret, és a lehetőségeit. És nekem ez nem tetszik.

--------

Előállított "Vállalati
Internetszennyező"

Előszőr azt mondod, hogy a rendőrség bűncselekmény hiányában ejtheti az ügyet, aztán azt, hogy teljesen helyénvaló, hogy - tipped szerint "bűncselekmény hiányában" - elviszik éjjel pizsamában készenléti rendőrséggel.

Ha egyszer a rendőrségre feljelentés érkezik és az alapján valószínűsíthető a bűncselekmény és megalapozottan gyanúsítható valaki az elkövetésével, akkor a rendőrség elő fogja keríteni az illetőt. Igen, pl. kimegy a lakására és beviszi. Továbbá lefoglalja bizonyítékokat stb. Ugyanis ez a dolga. Aztán ha az eljárás során tisztázódik, h mégsem történt bűncselekmény, akkor megszünteti az eljárást. A rendőrséget a feljelentést követően eljárási kötelezettség terheli. Ha nem tudja élből elutasítani a feljelentést, akkor lépnie kell. Na most, h Neked erről megvan a véleményed, az még rendben lenne, de az már nincs, h úgy teszel, mintha azt én írtam volna.

Vagyunk egy páran akit zavar és zavart mindenféle ilyen jellegű apanázs akármilyen színű is legyen.

Minden korrupcióra való hivatkozás ab ovo magában hordozza annak ígéretét, h a hivatkozó - túl azon, h elítéli a korrupciót - képes lenne egy korrupció nélküli rendszert felépíteni és működtetni. Csakhogy ez egy oltári nagy blöff, egy ordas nagy hazugság. Ugyanis nem képes erre. A legtöbb amit el tudna érni, h az ő rendszerében a saját emberei lennének a korruptak. A korrupciónak az alternatívája nem a korrupció mentesség, hanem egy másik korrupció - legalábbis a képviseleti demokrácia keretei között.

Hogyha Neked tényleg az lenne a fontos BKK mobiljegy ügybe a felelősök belebukjanak, akkor tárgyilagosnak kéne maradnod és szakmai alapon kéne kritizálnod őket. Így is épp elég muníciót szolgáltattak, amit el lehet rájuk lődözni. És nem próbálnád politprop célokra felhasználni az esetet, mert az egyrészt fókusztévesztés, másrészt a szekértábor mentalitás miatt azt a veszélyt is magában hordozza, h végül politikai alapon azok is védelmükbe fogják venni a felelősöket, akik egyébként szakmai alapon kritizálták volna őket.

"A legtöbb amit el tudna érni, h az ő rendszerében a saját emberei lennének a korruptak."

Ennél azért _jóval_ többet is el lehet érni. Mondjuk pár (tíz)ezermilliárdot nem olyan lehetetlen nem kivenni az államkasszából. Még ha nem is felelhet az ember a legutolsó hivatalnoka becsületéért.

Először is:

Az rtl híradónak nyilatkozott a srác, hogy nem éjjel vitték be, hanem reggel 7kor mentek érte az NNYI-től, és elmondása alapján a kihallgatás után lett gyanúsított. /tehát technikailag valószínűleg tanúkihallgatásnak indulhatott, aztán utána lett gyanúsított/. Jó,hogy a sajtó tegnap tök másról cikkezzett, és a rendőrség sem sietett cáfolni. Ezt a hírt tegnap megettem. mea culpa / mondanám ha nem lennék ateista/ a rendőrségnek. :-)

A srác említette, hogy volt házkutatás is. / úgyhogy ha volt másolt, torrentezett játék, windows is a gépen, akkor a srác rendesen rákúrt szvsz, mert azt most hozzácsapják. :-(( /

akkor a rendőrség elő fogja keríteni az illetőt. Igen, pl. kimegy a lakására és beviszi. Továbbá lefoglalja bizonyítékokat stb. Ugyanis ez a dolga. Aztán ha az eljárás során tisztázódik, h mégsem történt bűncselekmény, akkor megszünteti az eljárást.

Szerintem te összekevered azt, amikor valakit "bizonyítottság hiányában", vagy "bűncselekmény hiányában" mentenek fel. Ha nincs bűncselekmény, akkor nem lehet gyanúsítottja sem annak, ami NINCS, max. az adott ügyben "tanúkihallgatás".

A srác esetében szerintem a bűncselekmény technikailag amúgy megáll a 2012/C törvény XLIII. /2 miatt, amivel a rendőrség vádolja. "Információs rendszer vagy adat megsértése". /tudom, hogy ezzel a véleményemmel kisebbségben vagyok, de próbálom megindokolni, hogy miért így látom:/

Ez a szabály:

Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

(2) Aki

a) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy

b) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,

(5) E § alkalmazásában adat: információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja.

A bíróság, ügyészség, rendőrség szerintem úgy fogja értelmezni, hogy a http POST kérés böngészőben történő átírásával "adatot" /ár paramétert/ változtatott meg, és ezért elmeszelik majd a srácot 2 évre 3 évre felfüggesztve (tipp!). /hacsak a várból nem szólnak le, mert politikailag kezd kényelmetlenné válni a rendszer számára, ahhoz meg egy webbérlet piszlicsáré kategória!/

Ezt nyilván súlyosbítja, hogy közérdekű üzem ellen követték el, de enyhítik az egyéb körülmények, minthogy jelentette, tapasztalatlan, nem saját hasznára, bűntetlen előélet, stb...

-------------

Én úgy látom ennél a jogi pontnál ugyanis nincs benne az etikus hackelés lehetősége a rendszerben, hogy jószándékúan figyelmeztetik a tulajdonost/üzemeltetőt biztonsági hiányosságra, ez a törvényből úgy fest teljes mértékben hiányzik.

még egyszer a link.

A másik opciónál "Információs rendszer védelmét biztosító technikai intézkedés kijátszása" benne van, hogy "(2) Nem büntethető ... meghatározott bűncselekmény elkövetője, ha - mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna - tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását." .

De egyrészt a srácot nem ezzel vádolják, másrészt se a bkk, se a t-s* nem hatóság. A törvénybe a hatóság mellett a rendszer üzemeltetőjét és/vagy tulajdonosát is bele kellett volna venni szerintem. Ez szerintem jogalkotói mulasztás /=szar a törvény/. Illetve az sem tiszta, hogy pontosan ki lenne az illetékes "hatóság" ilyen ügyben. NNYI, rendőrség, stb. (??) Mert van annyi "hatóság" már mint istennyila.

---------------

Hogyha Neked tényleg az lenne a fontos BKK mobiljegy ügybe a felelősök belebukjanak, akkor tárgyilagosnak kéne maradnod és szakmai alapon kéne kritizálnod őket.

Akik politikai alapon hoznak döntést, pl. megrendelés körülményei, teljesítés stb. azt nem lehet szakmailag kritizálni. Én is köztulajdonban álló cégnél dolgozok, mint minden ilyen helyen, nálunk is vannak ilyen politikai tisztek, - nyilván a bkk-nál is vannak - akiket nem lehet szakmailag kritizálni, mert érinthetetlenek. Ők egyszerűen nem hibázhatnak. Ha politikailag nem válnak kényelmetlenné, képtelenség elmozdítani ezeket az embereket, ha csak nem feljebb buktatják.

Akinek nem kell szakmai követelményeknek megfelelni, azt nem lehet szakmai alapon kritizálni. Illetve lehet, csak nincs értelme, mert a sorsa nem ez alapján fog eldőlni.

végül politikai alapon azok is védelmükbe fogják venni a felelősöket, akik egyébként szakmai alapon kritizálták volna őket.

Ez így is lesz. Biztos lehetsz benne, hogy az a narancsos tótumfaktum, aki végül megkapta az apanázst a szerződés lebonyolításáért, az továbbra is a helyén marad! A BKK felett felügyeleti kontrollt gyakorol elvileg a fővárosi önkormányzat, személyesen talán pont az a főpolgármester-helyettes aki együtt vigyorgott a t-* és a bkk vezetőjével mikor bejelentették a webbérletet mint új csodaszert.

A rendszer így működik. Egy tetszőleges tisztáldozatot, bűnbakot persze ki lehet lőni, de hogy a felelős a helyén marad afelől én biztos vagyok.

Az elsődleges felelős elvben az, aki "átvette a munkát", és visszaigazolta a szerződés teljesítését hogy megfelel az elvárt kívánalmaknak, minőségnek.

Csak ugye köztulajdonban álló cégeknél, közintézményeknél ez sajnos úgy szokott menni, hogy föntről jön a telefon az elvileg felelős személynek, hogy "írd alá és kuss!", mert ez határidőre kell, és az akármilyen méltóságos/kegyelmes főméltóság is sürgeti. Ez nem narancsos találmány, ez más színben is így volt, csak most mondjuk hatványozottabban így működik...

---------

U.I:

A T-system most már hiába mosakszik, a feljentést nem lehet meg nem történtté tenni. / = szar a törvény mint látszik, de ez a jogalkotó felelőssége/. Ugye ők azzal védekeznek most, hogy belső szabályzat miatt elérte azt a szintet, amikor ezt meg kellett tenni.

1. Hol ez a belső szabályzat, ki hagyta jóvá, mikor lépett hatályba? 2. Akkor miért a biztonsági igazgató verte a mellét a sajtótájékoztatón szűk egy hete, hogy ő egy személyben tette meg a feljelentést majdhogynem személyes felháborodásában ?.

--------

Előállított "Vállalati
Internetszennyező"

"Tarlós István átfogó vizsgálatot kért a BKK online értékesítési rendszerének ügyében"
http://index.hu/belfold/2017/07/22/tuntetest_hirdetnek_hetfore_a_bkk_ele/

Vagyis az történt, amit írtam korábban. Lejárt a határidő amíg ezek a faszok saját hatáskörben intézkedhettek a botrány elsikálásáról. Az elöljáró beavatkozott, most majd szoronghatnak a szőnyeg szélén - Tarlós nem az a visszafogott típus, van okuk a betojásra.
A keménykedő hangnem is rögtön bocsánatkérésbe csapott át érdekes módon.

Sztem most Tarlóst kéne bombázni, h mégis hogy képzelik hogy olyan rendszert vesznek át a BKK-nál a T-től, ami nem éri el egy gimnáziumi számítógép szakkör szakmai színvonalát?

Nem akarok jogászkodni itt, más szálban már eléggé ki lett tárgyalva a dolog. Józan paraszti ésszel a rendőrségnek meg kell szüntetni a nyomozást bűncselekmény hiányában. Természetesen a közben született BKK elleni feljelentéseket (személyes adatokkal való visszaélés asszem) pedig ki kell vizsgálni. Aztán majd még jöhet rá a Tarlós féle vizsgálat alapján születő esetleges feljelentések.

és akkor még nem ártana auditálni a t-system által eddig elvégzett állami/önkormányzati megrendelésre szállított/üzemeltetett, szoftvereket:)

a nem állami cégek meg majd belátásuk szerint tesznek v.mit.

Jó ötlet!

Kétségtelen, hogy a kormánypárti csicskamédia részéről is van némi elmozdulás a korábbi "tönkretették a bkk webbérlet rendszerét" c. agymosodából..., de én még nem örömködnék.

Józan paraszti ésszel a rendőrségnek meg kell szüntetni a nyomozást bűncselekmény hiányában.

Még egyszer, hátha leesik:

az ügyben a Készenléti Rendőrség Nemzeti Nyomozó Iroda információs rendszer vagy adat megsértése vétség elkövetésének megalapozott gyanúja miatt indított nyomozást, amelynek határideje 2017. szeptember 15.

Tehát a rendőrség szerint bűncselekmény történt, és már van gyanúsítottjuk. Ha álláspontjuk szerint van bűncselekmény, akkor nem fogják bűncselekmény hiányában megszüntetni a nyomozást, max. "bizonyítottság hiányában" tudják innen már kiszedni a srácot arcvesztés nélkül, hogy ő a fent említett bűncselekményt nem követte el.

Gondolj bele: Hogyan akarsz gyanúsítottként kezelni valakit egy eseménnyel, ami nem is bűncselekmény ? Simán kipereli belőled a szart is kártérítés címén. Meggyanúsítod valamivel, ami nem is bűncselekmény ? Simán hatósági túlkapás.

Van kiskapu, amin a rendőrség kibújhat - pszt, most ötletet adok - mert állítólag több támadás is érte a gyerektől függetlenül a bkk webrendszerét.

A rendőrség mondhatja azt is, hogy valójában ezen ügyekben vizsgálódik, és ezekben a srácot nem találja mégsem bűnösnek, így "bizonyítottság hiányában" ejtik a gyanúsítottak köréből, mert a házkutatás, és a srác informatikai eszközeinek átvizsgálása ezt a gyanút mégsem támasztotta alá. És más ismeretlen tettes után folytatják ez ügyben majd a nyomozást...

De ehhez szerintem az kell, hogy a várból leszóljanak, hogy igen, ezt a verziót kérjük. Nem fognak a készenléti rendőrségen ennek ellentmondani !

Erre szvsz meglenne az ok, végül is részben jogalkotói mulasztás is, hogy az etikus hackelés helyzete jogilag teljesen rendezetlen. Amit részben összetákoltak, az gyakorlatban pont használhatatlan. Tehát ha még szoktak a várban tükörbe nézni, akkor illene valami ilyesmit intézni szerintem...

Az elöljáró beavatkozott, most majd szoronghatnak a szőnyeg szélén

Csak nehogy az elöljáró pont azt a helyettesét bízza meg a vizsgálattal, akinek elvileg dolga lett volna a BKK felett a tulajdonosi felügyelet gyakorlása, és aki nem mellesleg együtt vigyorgott a bevezetéskor a bkk és t* illetékeseivel. ;-)

A t* és a bkk most valami belső szabályzatra hivatkozik. Ha tényleg volt ilyen, akkor a T-t nyilván nem, de a bkk-ét biztosan tulajdonosi (=állami) felügyelet részéről kellett ellenjegyezni / ez minden állami cégnél így van, mindig is így volt /. Azt meg olyan ember írta alá aki érinthetetlen még Tarlós számára is. /Ez minden állami cégnél így van/ Szóval ez a vizsgálat lehet egy kétélű kard, ez visszaüthet... (!). Én ehhez ezért nem fűzök nagy reményeket.

A keménykedő hangnem is rögtön bocsánatkérésbe csapott át érdekes módon.

Duma, duma, duma ! Késő!

Rendőrségi vizsgálatot a Tarlós sem fog leállítani már, azt max. a várból !.

Te komolyan olyan naív vagy, hogy a fideszes állami cég, fideszes politikusok által ún. tulajdonosi jogkörrel felügyelve a fideszes haveri cégtől jócskán túlárazott megbízási szerződésért és azok látványosan gyenge teljesítési színvonaláért valakit ma Magyarországon elő fognak állítani vezetőszálon ?

Ezer ilyen sztori volt már, és mind a polti iktatóban végezte. Miért pont most lenne ez más ? Én ezt még mindig nem látom.

Az abszolút maximum amit el tudok képzelni, hogy minőségi kifogások miatt a T* fizet majd valamennyi kötbért a fővárosnak. Oszt jónapot !

(személyes adatokkal való visszaélés asszem)

Nekem nem úgy tűnik hogy ez büntetőjogi kategória.. Max. sérelemdíjért perelhetnek a regisztrált felhasználók szerintem pl. ez alapján. Ezt érdemes lehet elvinni egy ügyvédhez. Összeállnak páran pertársaság, stb.
Ez összejöhet. De csak azoknak akik pl. a cikk megjelenéséig regisztráltak, utána mondhatja a T* / BKK hogy ezt a hibát már javította.

(1) Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak kárt okoz, köteles azt megtéríteni.

(2) Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az adatkezelőtől sérelemdíjat követelhet.

--------

Előállított "Vállalati
Internetszennyező"

"Te komolyan olyan naív vagy, hogy..."

Nem mintha azt kívánnám, de ennyi jóhiszeműséggel a háta mögött Fletó most a negyedik miniszterelnöki ciklusát töltené, és gondtalanul készülne az ötödikre, az archívumokban pedig a 2006-os év legdurvább hírei a karácsonyfatüzek volnának.

Én nem értem miért olyan nehéz felfognod! Az eljárás közben derül ki, h nem történt bűncselekmény. Az elején úgy gondolták, h történt, de amint tisztázódott a helyzet belátták, h tévedtek. Ügy lezárva. Ha a rendőrség hülye ehhez, akkor majd leszólnak nekik várból és legalább Te is megnyugodhatsz, h úgy mentek a dolgok, ahogy sejtetted.
Ha annyira jogászkodsz már itt, akkor talán nem ártana bemutatnod, h mik voltak a hekkerünk jogosultságának a keretei! Ugyanis ez egyáltalán nem nyilvánvaló ( emiatt állhat elő, h kezdetben a rendőrség bűncselekményt vizionál és utólag majd szabadkozni fog) , és hát abban a kérdésben, h történt-e bűncselekmény az a döntő, h ezen - nem ismert - jogosultsági keretek vajon meg lettek-e sértve.

Tehát mik a jogosultsági keretek szted?

Amit Tarlóst illeti, öreg róka ő már ahhoz, h taknyos zsúrpubik szennyesét mossa. Gondolod, nem lát át ezeken a faszokon- függetlenül attól, h ki készíti a jelentést? És én vagyok naív? Na hisz :DD

Attól viszont a belem kifordul, h tetves szarháziak hekkerünk melletti kiállás látszatával kormányellenes tüntetésekre hergeljék a jónépet!

Már nem gyanúsított a BKK jegyrendszerét átverő fiatal

Az ügyészség a közlés szerint – a rendőrséggel szemben – megállapította, hogy a júliusi, 50 forintos bérletvásárlással a célja valóban a biztonsági rés feltárása és ennek közlése volt a BKK felé, ezt két e-mail is bizonyítja. Ahhoz viszont, hogy kétséget kizáróan meggyőződjön a rendszerhibáról, szükséges volt a vásárlás befejezése.

Az ügyészség azt is megállapította, hogy ez a „hekkelés” vezetett az informatikai rendszer kijavításához, kizárva a továbbiakban a hasonló akciókat. A cselekmény ugyanakkor nem veszélyes a társadalomra, így nem is lehet bűncselekmény, hanem közérdekű bejelentésnek minősül, ami büntethetőséget kizáró ok.

https://mno.hu/belfold/mar-nem-gyanusitott-a-bkk-jegyrendszeret-atvero-fiatal-2413537

----------------

Most - miután kiderült h az éjjeli rendőrségi bevitelről szóló hír kacsa volt, továbbá az ügyészség megszüntette az eljárást a "hekkerünk" ellen- elvárnék némi önkritikai gyakorlatot részedről. Továbbá annak belátását, amit kezdetektől mondtam, h az egészet szakmai alapon kellett volna megítélni, ugyanis minden más aspektus a lényegről terelte el a figyelmet - különösen a hekkerünk ellen indított eljárás. És mindenki vétkes aki vitával, tüntetéssel stb asszisztált a figyelem eltereléséhez.
Üdv!

"... és elmondása alapján a kihallgatás után lett gyanúsított. /tehát technikailag valószínűleg tanúkihallgatásnak indulhatott, aztán utána lett gyanúsított/."

Ez csak apró technikai részlet, amelynek az az oka, hogy tanúként nem hazudhat, gyanúsítottként viszont már igen.

Ja, mindig ezt csinálják, bár nem tudom mikor terjedt el a használata.

Régen. Viszont most a srác is azt mondta, eleve gyanúsítottként mentek érte. (Tanúként nem is mehettek volna, ahhoz mindenképpen legalább egyszer ki kell hagyni egy idézést.)

ez nem teljesen igaz.

semmilyen esetben sem vagy köteles magad ellen vallomást tenni.

Ráadásul "jó" üzenetet küld a fiataloknak: ha segíteni akarsz másoknak, azt NE ebben az országban tedd, mert itt üldöznek miatta. Milliós veszteséget előztél meg egy állami cégnek? Még _aznap éjjel_ érted jönnek a rendőrök.

Ááááácsi! Itt arról van szó, h a geca BKK-s próbál még nagyobb "farkast kiálltani". Ne veszítsük el a fókuszt: mennyi közpénzt költöttek el erre a szarra? És miért van még helyén a felelős? Miért nem őt vitték el a rendőrök? Ne engedjük h etikus-hekker vs. rendőrség konfliktussá silányuljon a dolog!

naja. Én is írtam. Bár nem nekik, mert velük szvsz semmi értelme levelezni. ennek az ügynek az tesz jó, ha nyilvánosságot kap és az emberel megértik, hogy az adóba befizetett pénzük milyen silány minőségű termékre lett elköltve.

"mennyi közpénzt költöttek el erre a szarra? És miért van még helyén a felelős? Miért nem őt vitték el a rendőrök?"

Ahol nem működnek a fékek és ellensúlyok, ott nem működnek.
Erre lehet túljátszott "áááh... fellengzős duma" sóhajjal legyinteni, de csak amíg nem a saját gangon kopognak a bakancsok, mert az ember szót emelt, vagy csak lelkesedni rest volt.

Jó nem baj, erre is van biztos pirula...

Túljátszott, fellengzős duma.

Sikerült fókuszt tévesztened Neked is! Fékekellensúlyozni legalább olyan badarság ebben az ügyben, mint a rendőrségi feljelentés. A rendőrség semmiről sem tehet, csak a dolgát teszi. Kapott egy bejelentést és azt kivizsgálja. Persze ha valaki kényszeresen rendszerkritikát akar artikulálni, egy szakmailag megítélendő kérdést politikává akar konvertálni, akkor csak abban lehet bízni, h ez a fókusztévesztés is értékelve lesz majd a publikum által.

"A rendőrség semmiről sem tehet, csak a dolgát teszi. Kapott egy bejelentést és azt kivizsgálja"

Éjjel kiszállva.
Mint a régi szép időkben.
Én meg kritizálom itten fókusztévesztetten a rendszert.
Te meg engem.

"A rendőrség semmiről sem tehet, csak a dolgát teszi. Kapott egy bejelentést és azt kivizsgálja."

Van aki szerint a rendőrség/ügyészség nem pártatlanul végzi a dolgát, hanem a narancs felé elfogultan. Erre számtalan példát lehetne hozni.

Ez esetben nem "a rendőrség semmiről sem tehet", hanem "a nénikéjét a rendőrségnek (és a propagandagépezetnek) hogy ezt játsszák a fiúval".

Mai update az ügyben: Éjjel vitték el a rendőrök a BKK-nak segítő fiút


// Happy debugging, suckers
#define true (rand() > 10)

A reformok működnek...
... fusson, ki merre lát!

Az Index letesztelte BKK webshop oldalát is:
http://index.hu/tech/2017/07/21/a_bkk_webshopja_biztonsagos/

"F"-es minősítést szerintem egy alapból felrakott Joomla se produkál... De a lényeg, hogy a "hekker" sikerült készenléti rendőrökkel elvitetni...

Az Anonymous-nak ha tud valaki, akkor szoljon már, hogy nyomjanak már ők is egy security check-et az oldalon. ;)

Facebook 1,2-re süllyedt a pontszámuk: https://www.facebook.com/pg/bkkbudapest/reviews/
Mondjuk ha ránéz egy külföldi a pontszámra, ez nem túl jó országimázs.

"Magyarország a magyaroké".
Senkit sem érdekel a brüsszelita sorosliberálbérenc külföldi méregkeverők véleménye. ;-)

Ez így jó !

--------

Előállított "Vállalati
Internetszennyező"

A Neumann-elvű számítógép magyar találmány, de a hacker nyugati!

már csak 1.0 az osztályzatuk, órák alatt kaptak 10 ezer lepontozást, durva.

ennyire öngólt rúgni nehéz.

Ez egy olyan dolog lesz, amit az elkövetkezendő években oktatni fognak pr/marketing szakon:


// Happy debugging, suckers
#define true (rand() > 10)

FB-n marketing kommunikációs csoportban is pörög a téma. Arról a szakmai oldalról sincsenek túl jó vélemények. És akkor azt hiszem finoman fogalmaztam.

Közpénzből kifejlesztettek egy szart, jóhiszeműen jelezte a súlyos hibát egy állampolgár, erre nemhogy megköszönnék neki, hanem beviszik a rendőrök. A piacból élő cégek ilyenkor jutalmat szoktak adni: http://hvg.hu/tudomany/20170721_Megszolalt_az_egyik_Prezialapito_is_a_BKKbotranyrol
Sok cégnek van programja, mely során jutalmazzák a bugokat megtalálókat.

Egy dologban nem értek egyet veled. 2017-ben:
- plain textként tárolni a jelszót,
- nem validálni az inputot,
az nem bug, hanem hozzá nem értés.

Ott a pont. Bár éppen mondható, hogy bug, de azt egy-két teszt még élesítés előtt jelezte volna.

De amúgy nem a T szállított szar szoftvert és jelentette fel a srácot?
Most komolyan a BKK-nak mi köze ehhez :/

1. Átvette.
2. Miután ország-világ meglátta, hogy mit vett át, nem jelentette fel a T-t, nem bontott szerződést, nem állt elő követeléssel (lefogadom, hogy azért nem, mert a T zsebében ott a memó, hogy jelezte a "nem üzembiztosságot", de a BKK aszonta, hogy KELL, MOST).

Na jó, adtam én is 1 csillagot neki, ezen ne múljon a szegény kölök sorsa.

wow, törlik a friss kommenteket

'Egy iskola ösztöndíjat ajánlott szerkesztőségünkön keresztül a fiúnak:
"Olvastuk a cikketeket, és mivel mi nem tudjuk felvenni a kapcsolatot a fiatallal, aki etikus hekkerként jelezte a hibát az illetékeseknek, ezért rajtatok keresztül szeretnénk felajánlani neki egy ösztöndíjas helyet iskolánk szoftverfejlesztő vagy hardver programozó kurzusára. Sok szeretettel várjuk a megkeresését!" – írták.'

Hát ez az, ezt kéne már felfognia minden ret(artdált|rográd) szégyentáblásnak.

Kb óránként +1000 1 csillagos értékelés, szép kis csúcs... mivel a magyar T-systems facebook oldalán le van tiltva a véleményezés, a német anyavállalat kapja az egycsillagokat, eddig ötezret.
No meg ez alatt a videó alatt a kommentek
Tényi István közérdekű bejelentő üldözése szabálysértés gyanúja miatt tett feljelentést ismeretlen tettes ellen.

szabálysértésért nem vonul ki egy baseballcsapat automata fegyverekkel.

nem szabálysértés lehetett ott a feljelentésben, ha meg igen, akkor a gyereknek kinéz 4-5 guriga. kártérítés, ha nemzetközi bíróságra megy, akkor akár 50 m. is. - közpénzből persze -

Egyébként egy kérdés:

Jól tudom, hogy nincs magyar T-Systems, hanem IT Services Hungary-nak hívják azt, amit más országokban T-Systems-nek?
Vagy van ITSH is és T-Systems is párhuzamosan?

Rosszul tudod, van ITSH meg T-Systems Hungary is (meg persze a Telekom, meg még ki tudja milyen kis T-Kft.-k). Az üzleti összefonódásaikat nem ismerem.

A T-Systems a Magyar Telekomé, az ITSH a német T-Systemsé, ha jól tudom. De amúgy nincs sok különbség..

Nekünk anno azt magyarázták az ITSH-nál, hogy a Magyar Telekom gyorsabb volt, és elhappolta a nevet. Így viszont érthető a hozzáállásuk a dolgokhoz, csak közvetetten van közük a németekhez.

Attól függetlenül, hogy hány cégre van szétszedve, ez egy csoport, (még ha pl. a magyar és a német T Systems között nincs tulajdonosi kapcsolat), egy brand. Egyik rábaszott, az egész brand elcseszte magát.

már ideje, hogy mínuszos értékelés is legyen.
vagy fekete pontot is lehessen osztani :)

bkk.hu épp 503

Ki regisztrált '); DROP TABLE users; -- névvel? :D

Valamilyen "Robert"... ;-)

ilyenkor úgy örülök, hogy nálunk a felhasználók nem users táblában vannak :) Nem mint ha ez jelentené a védelmet

hát miben vannak? pizsamában?

Természetesen egy pizsama nevű táblában. :) Egyébként nem, csak a tábla neve tartalmazza a felhasználó jellegét. Nem mennék bele a részletekbe, de olyat képzelj el táblanévnek, hogy subscriber_main_data.

Nalunk mar tabla sincs. Ojve, haladunk a korral! :) (MongoDB...)

Moat újra megy, ~6 órán át tartott elhátrítani a hibát? :)

nalam tovabbra is 503 Service Unavailable

Tényleg... mielőtt írtam, tuti, hogy ment, ezekszerint csak hiba volt a DDoS-ban :)

Az a legszebb az egészben, hogy miután a weboldalat elbaszták, jó kommunikációval még mindig kijöhettek volna belőle... de nem :)

Vannak dolgok, amihez született tehetség kell, mert nem lehet tanulni... Egy ilyen helyzetből ilyen szarul kijönni, na az pont egy ilyen dolog. ;)
Egyébként számomra döbbenetes, hogy a mostani kormányzat mennyire nem érti, hogy hogy működik ez az egész internet nevű izé. Se technológialilag, se társadalmilag...

Ehelyett kiprovokáltak egy tüntetést maguk ellen. :D

Nem lennék sokkal boldogabb, ha egy azonos(nak tűnő) email címről jövő levél elég lenne a törlésre. :)

A történetben nem csak az a szomorú, hogy nem csak mindent elbasztak, amit lehet, rossz kód, elsietett indulás, rossz kommunikáció, arrogáns hozzáállás, bűnbak keresése és kikiáltása...

Még csak nem is az, hogy kábé mindegyik elbaltázott lépésnél fordíthattak volna egyet a dolgon megfelelő kommunikációval...

Hanem az, hogy ez is csak el fog csendesedni, és minden folyik tovább úgy, mint eddig. Kaptunk egy instabil szar rendszert, de már előtte is voltak életveszélyes szerelvények, pályák, és a morgolódás, anyázás, fikázás megy, de megoldás eddig nem kerekedett, és lassan belesüppedünk az elfogadásba.

Vajon ezen mi tud változtatni?

Vajon miért nincs még feljelentve a BKK vagy a Tsys adatkezelési problémák, életveszélyeztetés, stb miatt?

Nem tudom. Te mit tettél azon kívül, hogy itt siránkozol? Mert kb. ennyit tesz a magyar társadalom, sír-rí, majd megy az élet habos oldalára bódulni és akkor érzi, hogy él.

Tekintve hogy nem iszom alkoholt egyáltalán, kicsit mellétalált az írásod. Egyébként hogy mit teszek, jelenleg egy fórumon boncolgatom a problémát.

Egyébként te mit teszel? Csak mert én nem jöttem ide megkérdőjelezni senkinek a hozzáállását a dolgokhoz, beszélgetést indítottam egy problémáról (ha kérded, hogy mit teszek, _többek közt_ ezt). Messze van a sírástól ez, és eléggé sajnállak, ha számodra minden panasz, minden ilyen téma sírásnak számít.

Pusztán rávilágítottam annak a magyar mondásnak az igazságára, miszerint "Gyáva népnek nincs hazája!". Ennek mentén mindent, de mindent lenyel ez a nép, lehajtott fejjel megy és tűr. Nem rólad van szó, hanem a még itthon élőkről. Ez egy jelenség vagy ha úgy tetszik, a kultúránk része. Tehát nem talált mellé az írásom, csak nem értetted meg a kérdésben rejlő mondanivalót. Ez lehet az én hibám maximum. Számomra minden ilyen panasz és téma sírás. Üres fecsegés. Menj el tiltakozni, írj petíciót és ne csak te, hanem még pár száz ezer vagy millió. Máris lesz foganatja. És ha már visszakérdeztél, akkor elmondom, egyik porcikám sem kívánja, de hétfőn elmegyek a tüntetésre. Mert ha itthon ülnék a vacsi után böffentve nézni az esti filmet, akkor milyen jogon sírnék? Hát nem?

"Nem rólad van szó, hanem a még itthon élőkről."
vs
"Te mit tettél azon kívül, hogy itt siránkozol?"

"Menj el tiltakozni, írj petíciót és ne csak te, hanem még pár száz ezer vagy millió. Máris lesz foganatja."

Egyelőre nem tudok tiltakozásról, leszámítva az online formáit, amiben én is részt vettem (lásd a témához kapcsolódó vállalatok facebook oldalán az értékelést, kommenteket, stb).

"Mert ha itthon ülnék a vacsi után böffentve nézni az esti filmet, akkor milyen jogon sírnék? Hát nem?"

Teljesen igazad van ebben. Egyébként ahogy két sorral feljebb is olvashatod, nem tudtam hogy lesz, bővebb infót tudsz adni?

nemtudom, de mintha ma azt hallottam volna a posványból, v. talán tusványból?, . nemt'om - hogy az az ország amelyik nem tudja megvédeni a határait nem is létezik.

tehát már elkéstél, mert már rég eladták letelepedési kötvényért, tehát akár gyáva akár nem, már nincs hazája...

már tökmin1.

már csak azzal lehetne segíteni a dolgokon, hogyha kikiáltanánk a 4. magyar köztársaságot. - a 3. romjain -

Akkor mire ez a sok poszt a témában? Hiszen ahogy mondod: nem mindegy?

mivel a 3. magyar köztársaság már nem köztársaság, és ami maradt belőle az sem működik, talán a szervezett bűnözés irányította részét kivéve.

sz'al, talán hogy legyen egy új hazánk?

mondjuk egy 4. magyar köztársaság. most már egy igazi köztársaság.

Ez a büdös helyzet.
Maffiát nem választáson szokás felszámolni.

igazad van, aki tett az most elozetesben ul, ergo ide irni sem tud.

Egy fecske, nyár...satöbbi.

Miért, szerinted mi értelme lenne, ha ő, te, vagy én feljelentenénk a BKK-t vagy a T-t a történtek miatt? Én pl. nem is használom, semmi jogom nem lenne feljelenteni, de ez mellékes. Nem történne semmi, ki sem vizsgálnák az ügyet, "bűncselekmény hiányában" már ejtve is lenne.

Helyettünk valami társadalmi (akár civil) szervezetnek (annak jogi csapatának) kellene ilyen esetben jogilag fellépnie. Ők talán tudnának tenni valamit (bár a kormányzati megítélésük miatt lehet, hogy azt a bejelentést is a szőnyeg alá söpörnék)
Ne legyenek illúzióid, ha ez egy évvel később történik, a GDPR hatályba lépése után, már régen fel lennének jelentve több oldalról is. Jelenleg több jogi cég is gyúrja ki magát a GDPR-ból, hogy vagy segítsen a beperelteknek, vagy minél több pert nyerjen egy év múlva...

A civil szervezetek felszámolás alatt állnak. Pont azért, mert mindenki arra vár, hogy majd más égeti össze a kezét, amíg a gesztenye kikaparásra kerül a tűzből és reméli, hogy ha kint van, akkor neki is jut. Ez is a kultúránk része.

Szerinted mit kellene tenni, ami célravezető lenne és,
- a BKK és a T-Systems kiáll és nyilvánosan elmondják, hogy mekkora arrogáns seggfejek voltak, és elnézést kérnek,
- viszavonják a feljelentést,
- a srácot ne vegzálják,
- a weboldalt pedig baromi gyorsan kijavítsák?

Megtölteni az utcát végre. Rendesen. Más nem fog célra vezetni, tetszik vagy sem.

El kéne menni szavazni jövő tavasszal és nem azért sírni, hogy nincs kire. :)
Előtte meg mondjuk le kénye ülni és megegyezni a pártoknak, hogy közös jelölt indul mindenhol, és hogy 2 év alatt kipaterolják az előző klientúrát, lesittelnek mindenkit akit kell, vagyonelkoboznak ahol kell, visszaállítják a szavazói körzetek határait, majd előrehozott választásokat írnak ki 2 év után, ahol mindenki önállóan indulhat. Tudom, bilibe lóg...
Most az van, hogy a vezető pozíciókban olyanok ülnek akiknek a pártja agresszív leugatással kommunikál izomból. Koppantak, hogy ezúttal ez nem jött be.

Ezt már le sem mertem írni! :)

De tényleg nincs kire. Van a jobbik, meg mindenki más, akinek a fizetésem még nagyobb része kell osztogatásra. Ebben az országban mindenki balról akarja előzni a kádárista kormányt. A baloldal halálát vízonáló szólamok annyira nem igazak, hogy ebben az országban gazdasági értelemben csak baloldal van, a különbség csak a társadalompolitikai máz keresztény-mélymagyartól szélsőliberálisig.

Első körben írtam az anyavállalatnak is. Nem biztos, hogy segít, de hátha. (Nyugaton azért ha ezt meg is teszik, bele is buknak.)
--
http://naszta.hu

Sztem minél tovább duzzad ez a dolog és minél tovább napirenden marad - szerencsére a dilettáns BKK vezér sokat tesz ennek érdekében - annál nagyobb valószínűséggel küldik meg neki a selyemzsinórt. Mán egy tekintélyelvű rendszerben ez így szokás. Kap az ipse pár nap haladékot, h elsikálhassa a botrányt, de ha látszik, h nem képes megbirkózni a helyzettel, akkor az elöljáró fogja magához vonni a dolgot és megnyitni számára a kiérdemelt kanálist.
Szóval az lenne a lényeg, h minél tovább felszínen legyen tartva a BKK-s ember felelőssége. Erről kell cikkezni, erről kell véleményt artikulálni. Szakmai alapon ízekre szedhető a manusz. Nincs szükség a rendőrség ekézésére, korrupt Fideszezésre stb.

'Nincs szükség a rendőrség ekézésére,'

már annak a rendőrségnek az ekézésére, amelyik fegyveres - vélhetőleg automata - emberek 'százait' küldi ki 'egy azaz 1 darab' 18 éves priusz nélküli stb stb csávó elfogására, 10 000 mínusz 50 Ft. értékben elkövetett csalás büntette miatt?

mint a nő akit azzal gyanúsított a bkv, hogy hamis - az egyébként bankkártyával náluk vásárolt - bérlete, és erre 24 órát ölt a jardon.

vitatható, hogy valójában ki is itt közveszélyes bűnöző..

meanwhile:

Benzinkúton 16ezres számládat nem fizeted ki, hanem elhajtasz, hiába adják át a felvételeket (ergo egyértelműen azonosítható vagy) a rendőrségnek, lófasz se történik, mert összeghatár alatt van.

Szóval ha elég nagy és kitartó a hőbörgés, akkor, végső esetben, ha már tényleg nem lehet máshogy, talán az (is) pellengérre kerül, aki a kormánytól kapta a menlevelet arra, hogy hülye kiskakas legyen a szemétdombon.

Tényleg nincs is itt semmi látnivaló.

Mán h a kormány nevezné ki a BKK vezérét...khm?

Erre mondta a B. László, töritanár mindig: hogy nem a kútba szart, csak a kávájára, és belelökte.

Amúgy tudod, hogy ma, itten, Magyarországon egy nyamvadt gimnáziumi igazgatói, de egy tyúkól méretű városszéli posta vezetői állását sem lehet pártjóváhagyás (ami persze megint nem a kormány, csak a kávájára, és bele) nélkül elnyerni vagy megtartani, vagy a Hold túloldalán tartózkodsz, hogy ne zavarjon a valóság?

Hát ugye, ahogy írod is: pártjóváhagyás (ami persze megint nem a kormány...

Nem kéne összekeverni a különböző fórumokat! A kormány nem azonos a Fidesszel; a kormánypártok a kormánnyal; A frakciók a kormánypártokkal; Orbán Viktor a kormánnyal és így tovább..

Csak a kávájára...

SZERK:

Akinek eddig tényleg nem aggályos itten semmi, és tényleg, de tényleg nem talál itt látnivalót, csak egy multi és egy ifjú csörtéjét, annak még egy kis színes:

http://index.hu/mindekozben/poszt/2017/07/21/es_mit_tudhatunk_meg_a_bkk_e-jegyerol_a_kozmediabol/

de mindegyiknek ugyan az a szervezett bűnözői csoport parancsol.
ma ár nem a bűnözőknek vannak politikai és/vagy gazdasági kapcsolatai, hanem a politikusoknak vannak bűnözői. vagy maguk a politikusok a bűnözők.

MOst mindegy h milyen elképzelés mentén, de elfogadhatatlan hiba egynek és egységesnek tekinteni ezeket az intézményeket/személyeket. A valóságban érdekellentét áll fent köztük, és nem akarnak a sajátjukból engedni. Kész megváltás a korrupció, mert legalább van valamiféle szervező elv a képviseleti demokrácia káoszában. Mondjuk elég szomorú, de ez a helyzet.

Ennél érdekesebb itt, h ha én vagyok [részben] a fejlesztés finanszírozója és végfelhasználója is egyszerre a BKK mobiljegy értékesítő rendszerének, akkor miért nincsen jogom meggyőződni arról, h azt nem lehet pl az ár testreszabásával:) átverni?

mert a kontraszelekció már mindenhova elért.

amikor kiderült hogy a szoftver átadási határideje közeleg, akkor már késő volt visszaváltani a 12 tokiói konferencia és szállodafoglalás árát. tehát megkérték a szomszéd 10 éves fiát, hogy 30 rugóért dobjon össze v.mi szart :)

ez persze csak egy összeesküvéselmélet:))

de az ellenség keze betette a lábát, és ezért politikai üggyé vált.

Kb.
Meg hát... azt a rendszert valaki át is vette...

Jó összjáték, hogy a T vállalja (kíváncsi volnék a szerződés volumenére, amiért ilyen seperc alatt előre lépett), de az tenné be a kaput, ha mától minden eladó és szolgáltató hátraléphetne kettőt, hogy a vásárló azokkal vitázzon, akik a szolgáltatónak szolgáltatnak kétes minőségben.
Elhiszem, hogy kényelmes volna, de a rabokét.

"A Fideszben kő - papír - ollóval dőlnek el a dolgok, de Viktor mondhat flexet is."

Ezt a bonmót Magyarországon másfél-kétmillió ember nem érti, de ők is majd belepusztulnak abba, hogy ne értsék.

hogyne értenék. az emberek nagy többsége nem hülye. még ha néha úgy is néznek ki:)

'van az a pénz amitől nekem korpás a hajam' - Prokopp Dóra

Nem futok el a vitától, de hogy valaki úgy vitázzon velem, hogy ugyanazt írja másképpen, arra nem vagyok felkészülve. :)

Miért? Nem így van. Vitézi elvtárs annó hogy került oda, emlékszel-e? Ez a mostani vezérlő igazgató pedig az NFM-ből ejtőernyőzött oda. Az egész pályafutása erősen köthető az államigazgatáshoz. Biztos pályázott az állásra, nem? :D

Vajon miért nincs még feljelentve a BKK vagy a Tsys adatkezelési problémák, életveszélyeztetés, stb miatt?

https://444.hu/2017/07/21/a-jo-szandeku-18-eves-hackert-feljelento-t-systems-par-eve-a-foszponzora-volt-egy-etikus-hackelesrol-szolo-konferencianak#comment-3428932005

A hörgölődők remélem az elmúlt 11 évben folyamatosan követték a magyar jogszolgáltatás haldoklását, az erőszakszervezetek egyre inkább elharapódzó, következmények nélküli jogtiprásait, a jogszerűtlenül börtönbe zárt vagy más módon ellehetetlenített honfitársaik történeteit pártállástól-világnézettől függetlenül (v.ö. "minek ment oda"), és nem csak most sápítoznak ezen az egy eseten hogy hát ez meg hogy került ide hotyképzelik. Persze az index meg a 444 a többiről nem írt (vagy ha igen, akkor csak a fenti Kuncze-idézet szorgalmas ismétlése közepette), de ha idáig tart a magyar társadalom világ-, és társadalomismerete (egyébként igen, idáig tart), akkor igazán felesleges most álszentül nyafogni.

Tetszettek volna az épp aktuális orbánozós-fideszes-ellopós, TV-ből áradó gumicsontokon rugózás helyett mondjuk végigcivilkedni a jelzett időszakot, és akkor nem egy halott igazságügyi rendszerrel megáldott országban élnénk, ami bármikor bárkit következmények nélkül agyontaposhat a törvények teljes leszarása mellett.

Egyétek meg amit főztetek.

Aki meg módosított POST-okat küldözget be különféle szerverekre az jobb ha tudatosítja magában a TOR létezését, v.ö. opsec.

Teljesen egyetértek! Mondjuk én itthonról. :)

mert miert is kellett volna tor-t hasznalnia? etikus dologrol beszelunk, nyilvan nem kerte fel senki hogy pentesteljen, de akkor sem igy kene mukodnie, felfedezte a hibat, volt POC jelezte a bkk-nak es ennyi. vicc ez az orszag es tenyleg egye meg mindenki amit fozott.

mas - bbk.hu meg mindig nem megy :)

Teljesen igazad van, ez a mohácsi polarizáltság, annak keresése, hogy melyik billoggal ellátott nyájba álljunk be, hogy bégessünk ebbe, de hallgassunk a másik irányba, egyszerre okozója és tünete annak, hogy ez egy beteg ország.

A remek PR miatt szerintem nem jutalom lesz ebből. ;)

http://www.bkk.hu/

503 Service Unavailable
No server is available to handle this request.

http://index.hu/belfold/2017/07/22/bkk_e-ticket_feljelentesek/

A szokásos üzletmenet: civil teszi meg a feljelentést.

Felkészül a legmélyebb fiók; felkészül Polt.

Már legalább egy tucat nagyon amatőr hiba derült ki.
Konkrétan kik csinálhatták a rendszert? Hány óra volt az elkészítésére? Tényleg ekkora az informatikus hiány, hogy a portásra kellett bízni?

Ez is van legalább 40 éves darab, de igazabb, mint a születésekor:

Megkérdezik a magyart, az oroszt és az amerikait, mennyiért lövetnék ki magukat az űrbe.
- Én harmincezer dollárért!
- És mit kezdesz harmincezer dollárral?
- Először is adnék tízezret a gyereknek, tízet a feleségemnek, tízet pedig megtartanék.
- És te, amerikai, mennyiért lövetnéd ki magad az űrbe?
- Hatvanezer dollárért.
- És mit kezdenél hatvanezer dollárral?
- Először is adnék húszat a gyereknek, húszat a feleségemnek, húszat pedig megtartanék.
- Hát te, magyar, mennyiért lövetnéd ki magad az űrbe?
- Kilencvenezer dollárért!
- És mit kezdesz kilencvenezer dollárral?
- Adnék neked harmincat, mert te szerezted az üzletet, harmincat megtartanék, harmincért meg kilőnénk a Vologyát!

Ma a valtozatossag kedveert a t-systems.hu nem elerheto...

Tudtátok, hogy a közérdekű bejelentőt elvileg védi a törvény?
https://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=a1300165.tv

Elvileg a korrupciot is tiltja.

--

"You can hide a semi truck in 300 lines of code"

haha :D

A kapitalizmus diszkrét bája. Bevételből élnek ők is? Tartanak a tüntetéstől?
http://index.hu/belfold/budapest/2017/07/22/oszinten_sajnalom_elnezest_kert_a_budapestiektol_a_bkk_vezetoje/

-

Jól értem, hogy arról van itt szó, hogy a BKK megrendelt egy szoftvert a T-Systemsnél, aki egy szart szállított szoftver helyett?

Majdnem. A BKK rendelt egy szoftvert, a T-Systems szállított egy bughalmazt, majd mikor egy 18 éves kölyök jelezett egy hibát a sokból a BKK-nak, akkor a törvény teljes szigorával lecsaptak rá, mondván, hogy jól megkibertámadta őket.

-

Oké. Ha jól értem, a T-Systems feljelentést tett valami miatt ismeretlen tettes ellen, amire alapozva a rendőrök fogták meg a kölköt. A T-Systems meg tudta volna akadályozni, hogy a rendőrök megfogják a gyereket? Vagy a BKK dolga lett volna szólni a rendőröknek, hogy nem a gyerek a ludas? Esetleg a rendőröknek, akik kimentek e legényért, tudniuk kellett volna, hogy nem szabad bántani?

Egyáltalán, ki ludas ebben a sztoriban a T-Systemsen kívül? Sok itt a nagy élettapasztalatú hozzáértő szakember vesztegetés ügyben. Azért kérdezem.

Ez az ismeretlen tettes dolog csak mellébeszélés. Pontosan tudták, hogy kiről van szó, mert a srác szólt nekik, és az összes személyes adata benne volt a rendszerben, miután megvette a bérletet. Alapvetően ha a jelzés után a T önkritikát gyakorol, és nem kezd el izmozni a BKK vezérigazgatóval karöltve, ez az egész nem fajult volna idáig szerintem.
FB-n marketinges csoportban szimplán kommunikációs katasztrófának nyilvánították azt, ahogy a T és a BKK kezelte a helyzetet. És ebben van valami, mert nem szerencsés kvázi lehülyéznie az embereket a BKK első emberének. Még akkor sem, ha ez a személyes véleménye. A személyes véleményem nekem is megvan róla. :)

A T-Systems kommunikéjében az van, hogy ismeretlen tettes ellen tettek feljelentést és a kölök nem szólt nekik. Lehet hogy hazudnak. De hol van itt a korrupció, ami nyilvánvaló? Értem én ,hogy az mindig nyilvánvaló, meg a haverok, meg minden, de pont ebben hol?

nekik nem is szólhatott, mert az elején nagyon titokban volt tartva, hogy ki csinálta. Aztán mikor a bili kezdett kiborulni, és kezdett a BKK-nak kínos lenni, akkor lépett elő az árnyékból a T. Felvállalva, hogy ez az egész az ő kezük munkája. A srác a BKK-nak szólt, csak nekik tudott.
Hogy ebben a korrupció hol van, azt nem tudom. Ennek a sztorinak most nem ez a legfőbb baja. Az a havi 22-25M Ft, amit havonta kifizetnek rá, aprópénz mondjuk egy vives vb költségvetéséhez képest.

Magyarul: ismeretlen tettes ellen tették a feljelentést, nem a gyerek ellen és nem is tudtak arról, hogy a gyerek kicsoda, amikor a feljelentést tették. A dolog tehát nem csak a korrupció feltételezésében sántít (azaz senki nem tudja, hogy mitől és hol lenne emögött a dolog mögött korrupció), de a gyerek szenttéavatása sem megalapozott. A rendőr ugyanis nem értelmezi a törvényt, hanem végrehajtja, mást nem nagyon tehet. Ha rend van.

A másik, ami egyértelmű, hogy a T-Systems súlyos állapotban van. Egy kommunikációs szakembernek ekkora cégnél az igazgatóságban van a helye. Ha van ott, azonnal le kellene mondania. Utána a vezérigazgatónak és az egész igazgatóságnak. Ha nincsen, akkor a sorrend az egész board visszahívásával kezdődik és utána kell visszahívni a vezérigazgatót. Munkaviszony esetén talán még a rendkívüli felmondás is megállja a helyét. Jó nagy publicitással. Utána el lehet gondolkodni, hogy milyen szalemberek ülnek ott és milyen hierarchiában, ki hagyta jóvá, hogy a BKK-nak ilyen szoftvert adjanak ki.

Szigorúan elképzelt esetleírás:

T: Feljelentést szeretnék tenni ismeretlen tettes ellen.
Rendőrség: OK.

Másnap:
Rendőrség: Kedves T, ideadná a logot, amely alapján feljelentést tett?
T: Tessék. Látja? Itt van, Gipsz Jakabot keressék, ez a személyigazolvány-száma…

Nagyjából.

A hírek szerint a feljelentést a T-Systems tette, az adat meg a BKK logjában volt.

Nem. A T logjában volt. Ha a BKK logjában lett volna, akkor a BKK tesz feljelentést. (Esetleg a T a log ismerete nélkül, csak hallomásra alapozva tett feljelentést?)

vagy a bkk logjában volt, amit a t-system emberei olvasgatnak mint üzemeltetők...

valójában nem hiszem, hogy a bkk-nál lenne egyeltem ember is, aki - hivatalból - tudná hogy is az a log, hol található, v. hogy mi van benne.

A híradások szerint a rendszert a T üzemelteti, ergó ők olvashatják a logokat - a BKK-nál nagy eséllyel senki nincs, akinek bármi köze lenne a rendszerhez technikailag.

"Magyarul: ismeretlen tettes ellen tették a feljelentést, nem a gyerek ellen és nem is tudtak arról, hogy a gyerek kicsoda, amikor a feljelentést tették."
Már hogyne tudtak volna róla? A valódi nevén a valódi adataival regsztrált, majd jelezte a valós email címéről jelezte a hibát a bkk hivatalos hibabejelentő emailjére. Minden adatuk meg volt róla, amit készségesen át is adtak a rendőröknek. sőt, szerintem az elején név szerint őt jelentették fel, csak a rendőrök szóltak nekik, hogy úgy nem lesz jó, mert visszaüthet (gyak. rágalmazásért, hamis vád miatt), "legyen inkább ismeretlen tettes, arra úgyis van formanyomtatványunk".
A többi 600 behatolót miért nem jelentették fel, csak azt az egyet, akinek minden adata megvolt?

Nem redőrök kopogtattak nála, hanem a TEK. Elég lett volna egy idézést küldeni neki, és ha nem jelenik meg a kijelölt időpontban, akkor előállítani, de azt is a rendőrség végzi, nem a TEK.

A korrupció mindig az, amiből kihagynak, ezt nem tudtad? :)

a készenléti rendőrség, és azért mentek, mert egy füst alatt házkutatást is végeztek.
ezt minta egy interjúba a csávó.

ha már ott voltak kezdésnek megkocsikáztatták...
még jó hogy nem kínálták meg tiktakkal:)

Ja tényleg, köszi... házkutatás is volt. :) Ilyen esetben ez megalapozott? Mit kerestek, Chrome logokat? Lefoglaltak bármit is, ha igen, mit, ami segíti a konkrét ügy nyomozását?

Szerinted anélkül hogy lehet megállapítani egy IP címhez tartozó előfizető elérési címén, hogy huncutkodott-e? Odamennek, megkérdezik tőle, ez az ő gépe-e, lefoglalják, majd az eljárás végeztével 2029-ben visszakapja. Ez a házkutatás.

Ha nekem huncutkodás jutna eszembe, garantáltan az én gépem volna az utolsó az ismert univerzumban, amelyen napokkal a huncutkodás és vitriolos nyilatkozatok után erre vonatkozó bizonyíték tartózkodna. Ebben az esetben jól jönne a kijelölt nyomozónak és ügyésznek a /nofschk/torrent mappában tartózkodó svéd krimikészlet, hogy ne romoljon a statisztika.

Másrészt viszont ha névvel, címmel levelet küldenék arról, hogy (itt idézőjelesen) "huncutkodtam", pont tojnék a háttértáraim erre vonatkozó tartalmára - amely tartalom a magyar "én szakértőm-te szakértőd" környezetben bizonyíthatja azt is, hogy egy gondos felhasználó vagyok, meg azt is, hogy potenciális terrorista - a bíró meg válogathat "szeret-nem szeret-szeret..." alapon.

Lehet. De ez nem a BKK ügye. Mégcsak nem is a T-Systemsé.

Értem én, hülye a BKK, hülye a T-Systems és hülyék a rendőrök is. Ha ez kell a lelki békénkhez.

Egyebekben sztem világosan kiderült, mit tett a T-Systems, nem pontosan tudjuk, hogy mit tett a BKK és ahány hozzáértő, annyi a vélemény arról, hogy a rendőrök milyenek.

Most akkor térjünk át arra, hogy mit loptak ebben Vityka és a haverok. Mert az a másik, ami világos és kézenfekvő minden szakértőnek ebben a dologban. Meg mindenben.

Én elhiszem neked, hogy te biztos forrásból tudod, hogy a T-Systemsnél hazudtak, amikor a kommunikében azt állították, hogy nem tudtak róla, hogy ki a fiú. A fiú mindenesetre azt állítja magáról, hogy BKK-nál jelentkezett, nem a T-Systemsnél. Persze, lehet ő is hazudik, nem lehet tudni. Annyi biztos, hogy ha a TEK vonult ki hozzá, akkor nem a T-Systems küldött hozzá ukrán behajtókat. De lehet, hogy idővel még erre is fény derül.

Ez a "mindenki hülye és mindenki korrupt, aki él" biztos álláspont, szilárd is, eléggé értelmiséginek is tűnik, rendben van. A T-Systemsnél viszont úgy tűnik, még nem akasztgatnak, sajnos.

hát ha azt nem is tudták kicsoda, azt mindenképpen tudniuk kellet, hogy melyik ip-ről mit csinál valaki. és ha tudták akkor a feljelentés hamis. mert - emlékeim szerint - a szerver feltöréséről szólt.

ezzel pedig szándékosan félrevezették a zsarukat.

Nem nagyon értem, hogy miért véded ennyire mindkét céget, de végülis mindegy.

A feljelentésről ezt írta a sajtó, hogy pontosan így hangzott-e el, ahogy le van írva, nem tudom, nem voltam ott:
index.hu/belfold/budapest/2017/07/18/bkk_digitalis_berlet/
"Lakatos András, T-Systems igazgatója megerősítette az elhangzottakat.
A sajtótájékoztatón kérdésekre elhangzott még, hogy
...
egy feljelentést tettek, az ellen, aki a 10000 forintos bérletet 50 forintért akarta megvenni, a többit mérlegelik"

Tehát nem "ismeretlen tettes ellen" hanem "az ellen, aki".

A "srác" a BKK alkalmazását használta, így (regisztrálás után) velük állt "szerződésben", ezért nekik jelezte a hibát. Az alkalmazáson belül sehol sem látható utalás a T-Systemsre, így honnan is kellett volna tudnia, hogy nekik és hogy milyen formában kellene jeleznie a hibát?

szerk.: a többi, 599 "hackert" mikor jelentik fel? És azokat, akik hétvégén DDoS-al leterhelték a honlapjaikat? Vagy azokat már nem annyira egyszerű beazonosítani a reggeli házkutatáshoz, mert nem adták meg jóhiszeműen az adataikat?

Mindig csodálkozom azokon, akik a tényeket csak valami vagy valaki ellen vagy valaki védelmében tudják értelmezni.

http://mandiner.hu/cikk/20170721_bkk_t_systems_kotelessegunk_volt_a_feljelentes

"„A T-Systems Magyarország az informatikai rendszerét ért jogosulatlan befolyásolás miatt ismeretlen tettes ellen (és nem egy konkrét személy ellen) tett feljelentést."

Gyanusított persze lehet, olyankor is, amikor ismeretlen tettes ellen tesznek feljelentést. A T-Systems ebben a témában szerintem akkorát hibázott, hogy az alig érthető. Nem azzal, hogy feljelentést tett, hanem azzal, hogy egy ilyen készültségű szoftvert publkikus felhasználásra adott. Nagyon kíváncsi vagyok, mit hoznak ki a vizsgálatban. Ez nem egy kis kóceráj - kellene legyen - ahol ilyesmi előfurdulhat valamiféle "Zeitdruck" miatt.

Szerk.: attól tartok a T-Systemstől a többi 599 hacker is nyugodtan aludhat mind.

Szerintem ez a történet nem a kommunikáción múlt és szerintem semmi keresnivalója az igazgatóságban...
Nem az a baj hogy nem a megfelelő bullshitet nyomták hanem az hogy szarkupacot építettek. Pont hogy nem sales-es+folyamatmanager+kommunikációs&marketinges emberekből kéne állnia az igazgatóságnak hanem olyanokból is akiknek van halovány fingja arról hogy mit is fejleszt&integrál&üzemeltet&telepít stbstb a cég..
régi és továbbra is teljesen igaz:
https://www.youtube.com/watch?v=BKorP55Aqvg

hogy pontosan hol a baj, azt nem tudom, azt viszont igen, hogy akármi épül közpénzből, az vagy baromi rossz, és használhatatlan, vagy 5-10-szer túl van árazva, vagy mindkettő.

Mindig mindenki ismeretlen tettes ellen tesz feljelentést, ez a bevett gyakorlat. Akkor is, ha pontosan tudod ki az elkövető/károkozó/stb.

Pontosan azért, mert ellenkező esetben fennáll a kockázat, hogy kimerítsd a hamis vádat.

--
Mobilbarát és reszponzív weboldal készítés

"A T-Systems kommunikéjében az van, hogy ismeretlen tettes ellen tettek feljelentést"

Ez azért van, mert ha adott személy ellen tesz feljelentést és kiderül, hogy nem bűnös, akkor hamis vád miatt feljeletőt veszik elő. Ismeretlen tettes ellen tett feljelentés esetén nincs ilyen. Ez csak jog technikai kérdés.

"és a kölök nem szólt nekik."

A hírek szerint a BKK-nak szolt. Ez egész a BKK neve alatt fut, csak a szállító és üzemeltető a T-System. Azt hogy a BKK rendszerét ki kezeli valójában nem kellene józan paraszti ész szertint egy bejelentés előtt kinyomozni.

Én azt olvastam, hogy nem a T jelentette fel a srácot ismeretlen tettesként, hanem a BKK tett feljelentést konkrét személy ellen. Szerintem úgy is felmentik a srácot, mivel nem valósított meg bűncselekményt, sem csalás, sem informatikai rendszerbe behatolást, csak sajnálom, hogy feleslegesen hurcolják meg, mikor inkább jutalmat érdemelne.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

-

Elkezdték kezelni a hibákat a rendszerben. A Qualys F-s minősítését máris megoldották. Valószínüleg egy tűzfalszabállyal.

Ezzel csak még jobban ássák el magukat a szakma előtt...

Az nem jutott eszükbe, hogy nem csak a qualys weboldala van, hanem más is. :)
https://www.htbridge.com/ssl/?id=Afy6kd47

Sőt, letölthető tool is van - filterezzék ki bátran az egész Internetet :D

https://testssl.sh/

Szanalmas. Az biztos, hogy ertelmes ember nem megy oda dolgozni ezek uran.

szerk:
Ez is megerne egy miset...

https://vpn.bkk.hu/

(Rendoroknek uzenem, holnap be kene mennem dolgozni szoval raerek)

--

"You can hide a semi truck in 300 lines of code"

Ugye nem a gyári default user/password van rajta beállítva? Nem merem kipróbálni :)

Self signed. Szép!

Belső használatra mi a baj a self-signed certificate-tel? Az is lehet, hogy a belső CA ki van tolva a saját gépeikre megbízhatóként, miközben neked külsősként piros a lakat.

+1

90 százalék, hogy csak spórolnak és/vagy balfaszok... dolgoztam pár nagyobb cégnél, elenyésző helyen volt naprakész belső truststore, a legtöbb helyen megtanulták a felhasználók, hogy ha felugrik egy ablak a nem megbízható valamiről, akkor nyugodtan fogadják el. Nem véletlen, hogy nem szokott ezen fennakadni egy phising...

Suszter cipője.
Ahol kifelé hipernek kell lenni, ott is előfordul (persze csak ismertem olyat, aki hallott olyanról, aki látott ilyet), hogy befelé az első szerver, ami megsérti az összvállalati előírásokat, az összvállalati alkalmazottak adatait kezelő LDAP szerver, ami a legalább 5 évvel ezelőtt fővesztés terhe mellett kiadott "-s nélkül nem lehet semmi" direktíva mellett a mai napig kiszolgál meztlábas 389-en, sőt a webes API-ja natúr http-n is.

Az id-k menedzselésére szolgáló számos alrendszer között pedig elvétve akad olyan, amelyik nem áthúzott lakattal jelenik meg a böngészőben.

Bizalom a tűzfalban, és a megyényi alkalmazottban.
https://www.youtube.com/watch?v=pw4at_-OYhY&feature=youtu.be&t=106

sőt. :) Ki a franc akarna a saját usereinek azonosításához megbízni bárki random külsősben :)

radiusnál/WPAnál is rendszeresen előjön, hogy miért self signed, és mindig el kell magyarázni, hogy a self signed az nem az insecure szinonímája, kontollált környezetben konkrétan jobb.

Akkor sem állítunk ki tanúsítványt 5 évre és nem használunk ma már gyenge chiphereket. Az SHA1-es tanúsítványról nem is beszélve.

majd ha le tudod írni hogy cipher, expertkém

Az agyam eldobom micsoda érvekkel cáfoltad az előtted szólót. *tapsvihar*

Az "állítunk" és "használunk" érvekkel nem óhajtottam diskurzusba süllyedni, ez tény.

Dupla
--

"You can hide a semi truck in 300 lines of code"

És még humorérzéke is van :)

Úgy tűnik sem a T-System-nek, de az újságírónak sincs:

A levél vége:
"Az általam közbeszerzésről leírtak szarkasztikus kritikát tartalmaznak, komolyan nem vehetőek, ..."

A cikkben:
"De azon azért némileg fennakadunk, hogy a fiú a MÁV és a Szerencsejáték Zrt. esetében a jelek szerint elmulasztotta teljesíteni az etikus hekkerek tízparancsolatának mindjárt az első pontját: azaz értesíteni az érintett cégeket."

Ez egyébként inkább csak tipp lehet, nem hiszem, hogy utánanéztek volna MÁVnál és a Szerencsjáténál... illetve még ha igaz is, köze sincs a mostani esethez.

De az Szrt-nél, legalább az SSL tesztnél nem véreznek el, mint a BKK cucca. Pedig lehet, hogy azt is a T-Systems csinálta. Nem lennék meglepve.

Nem a té.

megintdupla...

fideszujsag...felveteli kovetelmeny a humorerzek teljes hianya..

Szerintem ez színtiszta kamu...
... Ezt akár maqa a T vagy a BKK is előállíthatta akár,hogy mentse a bőrét.

Sztem is. 18 évesen nem így fogalmaz az ember.

11 évesen is simán. (az én 11 éves írásaimat megőrizte* az internet különböző fórumokon, kommentekben)

*valójában nem őrizte meg, mert sorra hal le minden, de na.

elég nagyot fut ez a hír a világsajtóban. A BKK "büszke" lehet magára lol...

--
GPLv3-as hozzászólás.

Link? Nem annyira latom ezt sehol a vilagsajtoban.

úgy értette a világsajtót,hogy kikerült a hackernews-ra és reddit-re is ugyanaz a post,amivel sokan szimpatizáltak.

+1

Megfontolt és moderált álláspontom szerint most már tényleg bszódjon meg mindenki, aki ebben részt vett.

http://index.hu/tech/2017/07/25/a_kurt_auditalja_a_bkk_jegyarusitasat/

Itt a Kürt mítosz vége?

Van erre mondas:

A cipesz maradjon a kaptafanal..

Hihetetlen, hogy a magyar közpénz egy Sadim (Midas ellentéte): amihez ér, az egy szempillantás alatt trágyává válik.

Olyan ez mint Sauron gyuruje. Mindenki birtokolni akarja es megmergezi a lelkuket :D

Mostanában elég klasszikus Index-minőség: ez a rendszer még nem az elektronikus jegyrendszer, ehhez (remélhetőleg) a Kürtnek semmi köze.

Itt van pontosan, hogy mennyi köze van: http://www.kozbeszerzes.hu/data/hirdetmeny/portal_515520/portal_16587_2016.pdf

Tárgya: „A BKK meglévő infrastruktúrájának információbiztonsági állapotfelmérése és folyamatos
auditálása az AFC (elektronikus jegyrendszer) Projekt információbiztonsági felügyelete és
minőségbiztosítása céljából”

"A BKK AFC Projektben érintett infrastruktúra információbiztonsági állapotfelmérése, az auditra
történő felkészítése és auditálása során elvégzendő feladat a bevezetésre kerülő szoftveres és
hardveres infrastruktúrával kapcsolatba hozható BKK specifikus rendszerek és rendszerelemek,
szolgáltatások vizsgálata és ellenőrzése a 2013. L. Ibtv. által meghatározott osztályba sorolás
alapján.
A megvalósítás kapcsán elérendő cél, az AFC Projekt során átadott rendszerek egységes,
bizalmasság, sértetlenség, és rendelkezésre állás szempontjából is magas érettségi szinttel
rendelkező infrastruktúrába kerüljenek implementálásra, továbbá ehhez kapcsolódóan szükséges
az AFC Projekt teljesítéséhez kapcsolódó szoftverek vonatkozásában érvényesülő informatikai
biztonsági követelmények meglétének folyamatos ellenőrzése a fejlesztési életciklus alatt.
Az AFC projekt megvalósítása mind szakmai tartalmában, mind időtávjában pontosan behatárolható
feladatot jelent. A munka minőségi ellenőrzése és szakértői nyomon követése jelentős
humánerőforrás felhasználással jár. A munkafeladatokat ellátó szakértők képzettségével és
tapasztalatával szemben támasztott követelmények szerteágazóak, speciális szakmai
felkészültséget igényelnek. Ezek - a teljesség igénye nélkül - kiterjednek szoftverfejlesztési,
információbiztonsági, rendszerintegrációs, pénzügyi szakterületekre, valamint az említett
területeken érvényes jogszabályok és szabványok alkalmazására. Ilyen mennyiségű és képzettségű
szakemberrel a BKK nem rendelkezik, hiszen az érintett szakemberek folyamatos rendelkezésre
tartása mind műszakilag, mind gazdaságilag indokolatlan lenne. Emiatt a feladatok ellátására
célszerű külső erőforrások bevonása a projektbe.
Jelen eljárás célja, az előzőekben leírtakhoz igazodó, az elvárt költséghatékonyság biztosításának
szem előtt tartása mellett a feladat speciális elvárásainak megfelelő külső erőforrás biztosítása.
A feladatok részletes meghatározását a közbeszerzési dokumentumok részét képező műszaki leírás
tartalmazza."

Tehát semmi?

Need more input.
Attól függ, hogy a rendszer pontosan mely elemeit szolgáltatta a T-Systems és mely részei számítanak a BKK saját rendszerének, esetleg - vagy valószínűleg 3rd party elemek is vannak.
Ugyanakkor minden valószínűség szerint a két fő hiba a T-Systems által szállított rendszerben van, mondom ezt látatlanban, mivel nem ástam elő, hogy ők pontosan mit vállaltak szállítani azért a mesebeli összegért, nem is hiszem, hogy az ennek megállapítására alkalmas részletes specifikációk publikusak.
Majd a Tarlós kinyomozza, hogy ki a felelős :) - csak ne úgy, mint a móri ügynél...

Mivel a nyilatkozatok alapján az egész online jegyrendszert szolgáltatásként veszi a BKK a T-től, így elvileg semmi sem a BKK saját rendszere.

Ha ez ennyire egyértelmű lenne akkor teljesen értelmetlen volt annak a 200 millának az elszórása a BKK rendszereinek auditálására...

megszólaltak
"Bár a BKK valóban megtehetné az AFC projekt keretszerződése alapján, hogy most is igénybe vegye a Kürt erőforrásait, szakértelmét a webes jegyárusító portállal kapcsolatban is, a Kürt elmondta nekünk, hogy erre nem került sor, tehát ők nem auditálták a webes rendszer működését. "

Sok bába közt elvész a gyerek?

Magyarul az egesz rendszer audit egy nagy nulla.

Hjam az a gyaloghid keresztben az arkon es a nagy lyuk a falon a pancelozott kapu az aknazar es a legvedelmi agyuk mellett? Hat aztat mondtak, hogy azzal ne foglalkozzunk. De amugy az erod a felmeresunk szerint bevehetetlen es biztonsagos. Merthogy a krokodilok ugye meg az aknak es es es...

Akkor csak a BKK-sok nem tudják, miről beszélnek: "Frissítés: A Kürt sajtóképviselője elmondta, hogy ez a közbeszerzés - noha Dabóczi Kálmán, a BKK vezérigazgatója név szerint említette a Kürtöt a jegyárusító rendszerről szóló sajtótájékoztatón - alapvetően nem a most futó webes projekt biztonsági ellenőrzéséről szól. A Kürt annak a majdani elentronikus (sic!) jegyárusító rendszernek a bevezetését készíti elő, amely egyenértékű lesz a világ többi nagyvárosában is működő megoldásokkal."

Csak a teljesseg kedveert.

Frissítés: A Kürt sajtóképviselője elmondta, hogy ez a közbeszerzés - noha Dabóczi Kálmán, a BKK vezérigazgatója név szerint említette a Kürtöt a jegyárusító rendszerről szóló sajtótájékoztatón - alapvetően nem a most futó webes projekt biztonsági ellenőrzéséről szól. A Kürt annak a majdani elentronikus jegyárusító rendszernek a bevezetését készíti elő, amely egyenértékű lesz a világ többi nagyvárosában is működő megoldásokkal.

--

"You can hide a semi truck in 300 lines of code"

Továbbá, ugyaninnen: "Bár a BKK valóban megtehetné az AFC projekt keretszerződése alapján, hogy most is igénybe vegye a Kürt erőforrásait, szakértelmét a webes jegyárusító portállal kapcsolatban is, a Kürt elmondta nekünk, hogy erre nem került sor, tehát ők nem auditálták a webes rendszer működését. "

Szóval a szerződés kiterjed erre is, de a Kürt szerint nem ők a hunyók. (Lehet hogy nem is tudtak erről a mellék-projektről.)

You must log in to continue.

Akkor sem vagy beljebb, ha belépsz.
Sorry, this content isn't available right now.

Pedig de, a link is jó. Épp most kattintottam rá, hogy ellenőrizzem, bejött a T-Systems oldala és rajta a bejegyzés. Egyébként nem vagyok feliratkozva sem rájuk, úgyhogy nem tudom miért nem látod.

Szerk: Bocsi, mégis csak fel voltam iratkozva valamiért, ezért láttam. Fura...

"Nagy Zsófi >>Hang on, why isn't this post set to 'Public'?<<"

--
Mobilbarát és reszponzív weboldal készítés

talán azért mert ez a bejegyzés a sügér magyaroknak szól akik szétkommentelték -sokan magyarul- a német tsystems oldalát :).

Over the last 48 hours we perceived a landslide loss of reputation on our Facebook-Site, including some horrible accusations and comparisons. “We”, that is T-Systems International, with more than 40.000 colleagues in more than 20 countries all over the world.

What happened: Last week, a seemingly ethically motivated hacker in Hungary exploited a bug in the online ticket sales system of the Budapest Transport Center (BKK), which was developed by T-Systems Magyarország (TSM). TSM, although carrying the same brand name as us, is not a legal entity of T-Systems International. From what we know, upon noticing the system´s breach, TSM immediately followed their compliance process and pressed official charges against an “unknown offender”. They had no information about the nature of the hack, nor were they approached by the hacker.
An 18year old person was arrested, though he seems to have revealed himself to the customer (not to TSM) and pointed out a malfunction in the system´s security, thereby showing ethical motivation.

What we would like to point out: We believe, if no significant harm is caused, ethically motivated hacks should rather be rewarded, than punished. We are in contact with Magyar Telekom and TSM in order to shed more light on the details of the case, and asked them – given the ethical motivation of the person - to support the young individual now by all means.

We appreciate the motivation of all the constructive comments we received at this site so far, and we will continue to host this channel as an open means to contact, ask or criticize us.

T-Systems

Talán azért, mert a sügér magyarok szerették volna jelezni valahogy, hogy kurvára nem fasza az, amit a TSM csinál, viszont erre nem volt lehetőség, mert a TSM - miután 1.0-ra zuhantak - letiltotta a saját oldalán az értékelést - így valahova eszkalálni kellett/"kellett"...

--
Mobilbarát és reszponzív weboldal készítés

Azt hogy kiborult a bili maguk a számok szerintem kellőképp jelezték.

Számomra az volt a legkevésbé logikus lépés, hogy elég sokan magyar nyelven írták meg a hozzászólásukat :) : max a többi bőbeszédű dekódolhatta.. ..a többségnek pedig szerintem fel se tűnt hogy el van tévedve..

Ilyen esetekre jó egy FB regisztráció :) Még ha nem is használod az oldalt, egy üres regisztrációt igazán lehet tartani ilyen esetekre :)

Akkor beidézem neked a német T-Systems által adott közlemény szövegét:

Idézet:
Over the last 48 hours we perceived a landslide loss of reputation on our Facebook-Site, including some horrible accusations and comparisons. “We”, that is T-Systems International, with more than 40.000 colleagues in more than 20 countries all over the world.

What happened: Last week, a seemingly ethically motivated hacker in Hungary exploited a bug in the online ticket sales system of the Budapest Transport Center (BKK), which was developed by T-Systems Magyarország (TSM). TSM, although carrying the same brand name as us, is not a legal entity of T-Systems International. From what we know, upon noticing the system´s breach, TSM immediately followed their compliance process and pressed official charges against an “unknown offender”. They had no information about the nature of the hack, nor were they approached by the hacker.

An 18year old person was arrested, though he seems to have revealed himself to the customer (not to TSM) and pointed out a malfunction in the system´s security, thereby showing ethical motivation.
What we would like to point out: We believe, if no significant harm is caused, ethically motivated hacks should rather be rewarded, than punished. We are in contact with Magyar Telekom and TSM in order to shed more light on the details of the case, and asked them – given the ethical motivation of the person - to support the young individual now by all means.

We appreciate the motivation of all the constructive comments we received at this site so far, and we will continue to host this channel as an open means to contact, ask or criticize us.

Aki nem tudja megnezni annak.

https://p1.picsto.re/ThAyC.jpg

--

"You can hide a semi truck in 300 lines of code"

Szeretem ezeket a jogi csures csavarasokat mi ize nem is vagyunk ugyanaz a ceg illetve jogilag ize nem is ugy van es hat kozunk se semmi. De tok veletlenul meg a ceglogotok is ugyanaz baszki... Es hat azert oda tudtok szolni a magyar kepviselet/leanyvallalat/szolga whatever (akarmi kozotok is van hozzajuk cegforma jogi kiskapu lenyeg hogy ti dirigaltok ) reszlegnek, hogy vizsgalodjanak.

Mondjuk ez egy korrekt level volt a jogi mosakodastol eltekintve. Bar a HU reszlegnek eszebe jutott volna egy ilyen mielott kitor a balhe (mondjuk akkor lehet nem indult volna el a szarcunami ellenuk)

Ahja, nincs jogilag közük egymáshoz, csak közös anyjuk van, szóval testvérek... az anyacég még nem reagált. :)

Ennyit arrol, hogy nem tortek meg oket mint a ropit...

Igazabol nem az a lenyeg, hogy megtornek e hanem hogy eszreveszed e illetve ha betornek akkor ,hogyan tudod minimalizalni a veszteseget (titkositva tarolva az infot masik db user tudja csak olvasni a hitelkartya adatokat DB admin is restricted van audit log es olvasva is vannak etc etc.)

" van audit log es olvasva is vannak"

Mint egy vicc.
-Van audit log?
-Persze, hiszen mi adunk a biztonsagra
-Olvassa is valaki?
-...

--

"You can hide a semi truck in 300 lines of code"

Itt a vége a sztorinak: lassan mindenkinek fel kéne állnia (BKK, T-Systems stb.).
--
http://naszta.hu

Komolyan leszakad a pofam es nem tudom elhinni ,hogy ugyanannal a cegcsoportnal mennyire mas a standard. Igaz jo par ev eltel mar de en egy elegge akkuratus fejleszto/tesztelo bandaval dolgoztam egyutt a T-nel. Mi van itt? Mindenki mas is kulfoldon dolgozik mar/elment mas ceghez dolgozni?

Teljesen korrekt a cikk, 3 honap a tesztelesre sem eleg, nemhogy a teljes fejlesztesre nullarol. Meg akkor sem, ha mar meglevo rendszereid vannak. Eleve teljesen lehetetlent vallaltak be, a BKK is, meg a T is. Ebbol jol kijonni nem lehetett, valoszinuleg akkora volt a politikai nyomas, hogy igy is be kellett vallalni.

A fejlesztok es a tesztelok alltak a szoporoller vegen, oket lehet hibaztatni a legkevesbe...

Úgy tűnik, ez a sztori minden vetületében ilyen. :) Én elmentem a hétfői - 20170724-i - nem is tudom milyen tüntetésre. Ez az: https://www.facebook.com/events/105787036760075/?fref=ts Ez a tüntetés pont olyan szervezésű és nívójú volt, mint a BKK e-jegy rendszere, amit a t-sys fejlesztett. Kb. annyi értelme is lett. :)

Nahát, Gyuri bácsi csalódott lesz, rosszul teljesítenek a fiugg! Pedig tünci bőrkabátot is felvettek a NER-matrix tüntizéshez. Képzelem milyen brain stroming volt amíg összehozták ezt a NER-mátrix koncepciót! Hogy csavarjuk rá az Orbán mondjon le-t az etikus hekkerre?

Csak egy egyszerű igen / nem választ várok: szerinted is minden rossz okozója ez a (füves?) Gyuri bácsi?
=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Nem. Pl. a BKK mögött sem ő áll :-D

Lényegében igen. Ha annó nem tömi ki orbánékat pénzzel, talán ma nem tartunk itt. Tehát a kérdésedre a válasz, ha ragaszkodsz az igen/nem válaszhoz, akkor szerintem: IGEN

Ő már hányadik főgonosz az elmúlt 7 évben? 8-10? NEm baj, szeptembertől jönnek az újságírók, ahogy hallom. Abba még belefér Gyuri bá, de állítom, egy év múlva senki sem fogja emlegetni.

Bocsm de ha komolyan írtad, akkor a szellemiek terén vetekedsz németrezsibiztosszilárddal. És ez tudod, hogy nem dicséret :D

Vicces ez a treszisztem. Az index az alabbi kerdeseket tette fel.

A T-Systems milyen minőségűnek tartja a rendszert?
Mennyi időt szántak a tesztelésére?
Volt-e független biztonsági auditálás?
Magyarországról és külföldről is érkeztek támadások?
Elloptak a rendszerből személyes adatokat?

a valasz

"A T-Systems Magyarország eddig is és ezután is a lehető legkomolyabban vett és vesz minden olyan jelzést, amely adatvédelmi incidens lehetőségére utalhat, és minden ilyen jelzést haladéktanul kivizsgál. Ez igaz a sajtóban már korábban megjelent híresztelésekre is, amiket a T-Systems eddig is folyamatosan vizsgált. Az eddigi vizsgálatok alapján jelenleg nincs tudomásunk az online jegyértékesítési rendszerrel kapcsolatos bármely adatvédelmi incidensről; nincs tudomásunk arról, hogy bármely személy személyes adatai illetéktelenekhez juthattak volna. A belső vizsgálaton felül a T-Systems Magyarország a hétfőn felkérte az EY nemzetközi tanácsadó céget egy külső, független szakértői vizsgálat lefolytatására is."

Komolyan kerdezem, tenyleg ennyire bonyolult a kerdesekre valaszolni? Miert kell allandoan melle beszelni, megfigyeltem, hogy mindenhol csak a rizsa megy, es a valaszadast allandoan kikerulik.

Egyébként a bkk.hu gyakorlatilag nem érhető el külföldi IP-ről 2-3 napja. Ország image... :(
--
http://naszta.hu

Ez biztos az "új, megerősített tűzfalak" miatt van :)

Mert a határozott, konkrét válaszokat számon lehet kérni. Ezért ködösítenek, hogy ne tudjanak belekötni.
pl.: "Az eddigi vizsgálatok alapján jelenleg nincs tudomásunk az online jegyértékesítési rendszerrel kapcsolatos bármely adatvédelmi incidensről; nincs tudomásunk arról, hogy bármely személy személyes adatai illetéktelenekhez juthattak volna."
Tehát nem azt írja, hogy nem loptak el semmilyen személyes adatot, hanem csak azt, hogy nem tudnak róla. Hogyan is tudhatnának, egy ilyen szintű rendszer mögött vajon milyen audit vagy monitoring rendszer állhat (kb. semmilyen), amiből rögtön kiderülne, hogy milyen adatok mekkora volumenben merrefelé vándoroltak?

"Komolyan kerdezem, tenyleg ennyire bonyolult a kerdesekre valaszolni? Miert kell allandoan melle beszelni, megfigyeltem, hogy mindenhol csak a rizsa megy, es a valaszadast allandoan kikerulik."

pl: "Anyad tudja, hogy buzi vagy?"
vagy ez: "Erre a kerdesre ugyanaz a valasz, mint arra a kerdesre, hogy buzi vagy?"

Mi ebben olyan bonyolult?

"A T-Systems milyen minőségűnek tartja a rendszert?"
Tetszőleges válasz a kurva szartól a nagyon jóig.

"Mennyi időt szántak a tesztelésére?"
X napot/hetet/hónapot.

"Volt-e független biztonsági auditálás?"
Igen / Nem

"Magyarországról és külföldről is érkeztek támadások?"
Igen / Nem (Azt, hogy támadások voltak, korábban a T állította, tehát nem "Anyad tudja, hogy buzi vagy?" típusú kérdés)

"Elloptak a rendszerből személyes adatokat?"
Igen / Nem

"Anyad tudja, hogy buzi vagy?"
Igen / Nem

"Erre a kerdesre ugyanaz a valasz, mint arra a kerdesre, hogy buzi vagy?"
Igen / Nem

Erre nem lehet egyenesen válaszolni, mert ez amolyan többféle téma.

http://www.origo.hu/itthon/20170724-a-bkk-kontra-etikus-hacker-ugyben-szabadjara-engedte-a-fantaziajat-az-ellenzeki-media.html

----
"Kb. egy hónapja elkezdtem írni egy Coelho-emulátort, ami kattintásra generál random Coelho-kompatibilis tartalmat."

Jesszus, itt annyira szabadjára engedték a propagandát hogy az már fáj

Emlékeztető, hogy a fenti cikk egyfajta laktózpapírként remekül alkalmas arra, hogy mindenki lemérhesse mennyire tartozik a "useful idiots" névvel emlegetett halmazba.

Ha - mint a fenti delikvens - csak a hörgés meg a "ssszemétorigó" fordul elő a szürkeállomány mélyéből akkor maximálisan, és forduljon orvoshoz... vagy inkább fel.

Különben miután kitaláltátok hogy ki hogyan és legyen fellógatva aki a T/BKK berkein belül ezért a foshalomért és a pénzek lenyúlásáért felelős (eddig rendben is van), arról is induljon azért egy 800 kommentes diskurzus hogy a népesség és a HUP jelentős része 1-2 álhírrel azonnal mozgósítható egy jó kis fecesbookos lepontozásra (amit nem a fos rendszer, hanem a "kissrácok éjjeli megerőszakolása" miatt kapott az alany), rendszergazdás-tüntire (ami teljességgel megalapozatlan, mert amit ez a szerencsétlen szakmai és emberi szemmel összekreténkedett az csak egy fejcsóválásra jó), és egyéb aktivizmusra... még mielőtt ugyanezen társadalmi sebezhetőségünk ukrán mintára lesz "hasznosítva" :^)

Gyengébbek kedvéért: a fenti jelenség nem pártállás hanem intelligencia függvénye, de akinek utóbbiból kevés adatott meg az úgyse fogja érteni amit írtam.

(nyugi, persze tudom hogy a falnak beszélek. Ideje Svalbard-ra költözni.)

Mi az a laktózpapír? :)

Az hogy nem ittam eleget :(

ob+...miert kell a trash mediat idezgetni?

egyebkent csinaljon mar vki egy szavazast, hogy hanyan gondoljak ugy a szakmabeliek kozul. hogy egy shop (kukac) cegnev.hu emailcim egy un. noreply cim!

a gyerek jo cimre is kuldott levelet :) De nem is lenyeg. :D

Ez az origo aztakurva :D
Meg link is van oldalukon valasz.hu ra :D:D:D ami ilyen pestisracok jellegu oldal :D

o|

shop@bkk.hu
Az üzenet nem kézbesíthető, mert az erre a címre történő kézbesítés korlátozva van.

"Biztos megkapták, job done, ideje forwardolni az indexnek is:^))"

Erre mar reg reagalt a gyerek egy screenshottal. Kuldott a rendes cimre is :)

Amugy az indexnek is irt? Nem csak az rtlklubnak es onnan vettek at hireket netes ujsagok?

De ugye az nem lehet, hogy attól mert te ma fél 8 előtt nem tudtál küldeni, attól még a gyerek 2 hete még igen? (SSL-tesztelés is ment még kb egy hete, aztán jól beszabályozták a védelmüket, és azóta már nem.) Persze utalhatnék itt nvik koléga korábbi hozzászólására az intelligencia és az értő olvasás összefüggéseiről, de minek.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

1. Gyerekről nincs szó, felnőtt emberek érintettek az ügyben. Rád nézve elég szomorú, hogy még a szavak jelentésével sem vagy tisztában.

2. Ezek után nem ad különösebb meglepetésre se okot, hogy e threadet sem sikerült értelmezned, ahol is a "ki gondolná a neten sehol se szereplő e-mailcímről - amit a küldő a shop.bkk.hu domainnévből alakított át meglehetősen egyedi módon egy byte cserével, ki tudja miért" kérdésre érkezett a "bounce azért elég beszédes" reply.

3. Mint látható, az e-mailcímnek sehol semmi nyoma, szóval elég evidens hogy nem A Gonosz BKKCég SzüntetteMeg Éjjel Hogy Lehessen Rá Mutogatni. Vagy ugye az is lehet, hogy a Gonosz BKK SMTPD eddig Gonosz módon nem küldött bounce üzeneteket! Elég vészjósló, hogy szakmabeliként az agyad rögtön erre a következtetésre jutott bármiféle research nélkül. Gondoltál már arra hogy súlyosan befolyásolva vagy?

Es kit erdekel, hogy a shop@bkk nak semmi nyoma sehol? Van ennek valami jelentosege? Komolyan?

Tehat a hulyegyerek kuldott bkk@ es shop@-ra is levelet. Utobbi nem letezik es nem is letezett. Micsoda problema. Hihetetlen :)

>Es kit erdekel, hogy a shop@bkk nak semmi nyoma sehol? Van ennek valami jelentosege? Komolyan?

kilvadi-nak akartad ezt replyzni, csak össze-vissza klikkezel sajnos

Oda is mehetett volna.

De mivel ezt irtad: "Mint látható, az e-mailcímnek sehol semmi nyoma"
Ezert ide is jo :)

Nem értik. Elromlott a szillogizmus. Kiölték belőlük valahogy.
Ilyenre még Orwell sem számított. (én már ott tartok, hogy lemondtam)

CMD+F: shop

0 hits

Basszus, tényleg?? Úgy akarod alátámasztani az érvedet, hogy egy információt, amit a cikben egy KÉPEN látható nem találtál meg CMD+F-fel?

Nálam nem jelennek meg a csoda sorosport(ál)on a képek, úgyhogy...

+1

Ezerszer le lett írva, képernyőképpel alátámasztva, hogy a

-ra is elküldte.

De ez hazugság, meg propaganda, meg soros, meg index :D

dupla

Ezerszer le lett írva, hogy e threadben a "bounce üzenet mennyire jó jelzője a nemműködő e-mail címnek" téma zajlik.

Chipherstein és az értő olvasás, ugye.

photoshoppal lettek kijavítva a ráncok azon a screenshoton :Đ

okoska! vmi lenyegi valasz nem volt a propagandaminiszteriumbol a kerdesemre?
ki az az idiota aki a shop (kukac) cegnev.hu emaicimet noreply-nak hasznalja?
mi lesz a kovetkezo no-reply cim: miniszterelnok (kukac) gov.hu, vagy ufsz (kukac) cegnev.hu?

>ki az az idiota

trey

Remote host said: 550 5.1.1 : Recipient address rejected: User unknown in virtual mailbox table

"ki az az idiota aki a shop (kukac) cegnev.hu emaicimet noreply-nak hasznalja?"

Ezt minden 13 éves gyerek tudja. (szemben a plaintext jelszóval, meg a user-oldali ár lekérésével)

Egyébként az is megérne egy misét, hogy mi a francért létezik a noreply emailek fogalma?

A minap rendeltem egy vonatjegyet, kiküldték e-mailben, ezen mail feladója: nevalaszoljon. Így. Ékezet, szóköz, írásjelek nélkül.

Miért is ne lehetne a feladó XY ügyfélszolgálat, vagy XY webshop, vagy akármi, és miért is ne lehetne bekötve az inbox ahhoz az email címhez egy ticket rendszerbe?

Pl.: van egy rendszerünk, amely egy rakás webshopot kezel. Az egyes shopok teljes frontendje az ügyfeleink kezében van, nálunk csak backend van, így amikor egy rendelést visszaigazolunk, a következő esetek lehetségesek:
1. Minden ügyfelünk biztosít egy MSA-t, és azon keresztül küldjük ki a levelet.
2. Minden ügyfelünk felveszi a küldő szerverünket az SPF rekordjába, ja és ha már DNS-t konfol, akkor elfogad tőlünk néhány DKIM kulcsot is.
3. Mi kiküldjük a levelet noreply@minevünk címmel, és a levélben benne van, hogy kihez fordulhat, ha gondja van.

Mondd, ha tudsz jobbat, mint a 3.

kitoltod a reply-to mezot?

Nem, mert nem az enyém a mail-szerver, így nem tudom (Amazon SES).

Forwardolod a beeső szarokat. Előtte whitelistelteted a mail szerveredet a júzerrel, hogy garantáltan minden szemetet visszakaphassanak.

Szerintem nem értetted meg a szituációt.

Szerző: HECKER FLÓRIÁN

Egy újságnál azért nincs lejjebb, amikor már névvel nem vállalnak cikket... :/

Szegény csávót tényleg így hívják.

Feljelentették már vajon?

a szoporollert tovabb nyomja a treszisztem

http://index.hu/belfold/2017/07/26/telekom_t-systems_biztonsagi_res_nni_etikus_hekker_rendorseg_nni_orizetbe_vetel/

Segíteni akart a Telekomnak, aztán egy reggel csöngettek a rendőrök

ujabb x-akta a cég történetéből..

Azért ebben a sztoriban minden pofon jó helyre megy ám...

-pilisig-

dupla

-pilisig-

Ez ugyanolyan eset mint a mostani. Emberünkkel a Telekom korrekten közölte hogy nem akarnak vele együtt dolgozni ennyi pénzért, ezután ő tovább root-kodott a szerverükön for the lulz, és mivel teljesen hülye így a saját, meg a rokonai IP-iről.

A "csak viccből hekkeltemXD" még mindig nem mentő körülmény, és nem is lesz soha az.

Onnantól kezdve, hogy nincs megbízás, ez már bizony kőkeményen btk. Hihetetlen, hogyan képzelik el egyesek az életet.

Hat azert mas dolog, ha valahogy rajossz, hogy lehet bejutni es szolsz, es mas, ha bejutsz, aztan elkezdesz root usert letrehozni meg ilyenek. Jogosan ment az a feljelentes.

Igen, az aktív beleírás a rendszerbe azért egy picit más. Mondjuk ha csak user-t adott hozzá (valahogy tesztelte, hogy tényleg admin jog), az határeset lehet, de ezért már jogosan nyűgösek és jogos lehet akár a feljelentés is.
--
http://naszta.hu

Határeset. Azbazmeg, határeset.

-pilisig-

Ha létrehozta a user-t és szólt rögtön: akkor talán még elmegy. Ha utána elkezdett vele tényleg bármit tevékenykedni vagy csak simán lassan szólt (nem telefonon és e-mailben rögtön, miközben már voltak kontaktjai), akkor megérdemli a durva büntetést. Szerintem.

De ez valóban az a felállás, ami már majdnem nem etikus hacker kategória, ha még az. Eléggé a határ.
--
http://naszta.hu

>még elmegy

Hát persze. És azt ki a faszom garantálja, hogy nem csinált mást is utána? Az ő cserkész becsületszava?

Jó ez a topic, legalább látszik hogy ki üzemeltetett már valaha bármit is.

Pont ez a lényeg: Iván nem fog szólni.
--
http://naszta.hu

A cikkből nem derült ki, hogy csinált e bármit adminként, csak az, hogy csinált egy ilyen felhasználót. Arra, hogy mit csinált adminként ott van az audit log, gondolom. Ennél több konkrétumot nem ismerünk. Pont a lényeget nem tudjuk. Simán igazad lehet, hogy jár neki a szívás, de el tudok képzelni olyan felállást is, ahol még normális a srác.

BTW: Én már az első jelentés után hagytam volna a fenébe, onnan az üzemeltető köre.
--
http://naszta.hu

cikk: "Esélye sem volt arra, hogy a dolog végére járjon."

Ha usert hozol létre, az már a dolog vége, nem? Utána már azért tényleg illik szólni (a következő 3 hétben csak ráért)

Etikus hekkerek országa leszünk. ;)
Jövőre választások...

ejj robin kellett neked a faxerdőben tátott szájjal rohangálni...

Baromira nem ugyanaz az eset.

Konkrétan belépett, és létrehozott magának egy admin felhasználót, miután a céggel beszélt és ugyan felmerült a lehetősége, hogy felkérik további tesztelésre, de ez nem történt meg.

Emellett a cég észlelte, hogy ő behatolva létrehozott egy accountot.

Szerintem az ő tevékenysége ebben az esetben elég gáz volt (miután nem kapott megbízást, folytatta). A feljelentés meg a behatoló védelem miatt jött.

A BKK-s esetben nem lépett be sehová, nem hozott létre admin accountot, nem változtatott meg semmit a rendszeren belül és valószínűleg az email vagy a sajtó megjelenés hatására jelentették fel.

Igy van, a srac hulyeseget csinalt, miutan a T nem kooperalt vele azutan el kellett volna adni az egeszet a dark weben.
Az ilyen multi cegek meg az arrogans alkalmazottaik csak a sulyos pofonokbol ertenek.

Azok a fránya papírok es felelősségű körök...

Ki veszi át? Mi alapján? Kinek a pénzéből fizet?

http://m.origo.hu/itthon/20170726-percekkel-a-start-elott-a-t-systems-semmi-akadalyat-nem-latta-hogy-elesitsek-a-bkk-shopot.html

T-Systems kijelenti, hogy a bevezetésre és üzemeltetésre kerülő BKK Online Shop aznap történő indításának, illetve a felhasználók számára történő hozzáférés megnyitásának semminemű akadályát nem látja.

Már az origo is erről ír?! :D

ha már a kenyeret is ellopták, legalább a cirkusz legyen meg :)

Azert meg van hova fejlodnie a BKK-T parosnak:
http://thehackernews.com/2017/07/sweden-data-breach.html

Ebből nem lesz fészes lepontozás meg tünti, mert az Aftonbladet még nem hozta le a 6 éves gyermekek éjjel ágyból kirángatásának helyi meséjét.

Nagyon frusztaltnak tunsz. Szerintem verd ki :)

lassan aruld mar el hogy T-sys vagy bkk dolgozo vagy-e. vagy esetleg alvallalkozo :)
Esetleg mastol vagy ilyen feszult..

Gondoltam smiley hegyek nélkül is evidens lesz hogy a buta hiszékeny fejeteken röhögök, de úgy tűnik már megint optimista voltam.

bkks alvóügynök

+100 sirok :D

Azért az nem semmi, hogy 13MFt-ba kerül egy jegykiadó automata... Még ha 1,3MFt lenne azt mondanám, hogy jó, jó, nem olcsó, dehát egyedi fejlesztés, meg a szoftver, meg a háttérinfra bővítése, meg a területhasználati díj (ha van egyáltalán) meg a hozzátartozó közmű-alépítmény bérlés, megatöbbi, de 13Mft!!! az már a 10.000$-os kalapács esete...
És annak ellenére, hogy a jegyzőkönyvben is szerepel "Engem a jegyautomaták ára, a szoftverfejlesztés és az eltömítés-védelem sokkolt.", gondolom simán átment, merthogy "ténylegesen dokumentáció van mögötte. "
Röhej és botrány

Pontosítsunk:
A 13 millióba csak az eltömíthető verzió fér bele. (Gondolom az eltömítés a pénzkiadó nyílásról szól.) Ez a védelem automatánként további 3 millióba kerül. Tehát 16 milliónál tartunk automatánként.

A nehezebb rész:
- Ez a 10 automata más lesz, mint a korábbi automaták?
- Ha igen, akkor mennyivel fognek többet –, esetleg kevesebbet – tudni a régiekhez képest?
- Nyilván jelentős (szoftver) módosításról van szó, ha ez 50 millióba kerül.
- Ebben az 50 millióba már az is benne van, hogy a T-Systems-es dolgozók, a felszerelés előtti napon saját költségükre tesztelik a berendezéseket?
- Ha ez a 10 automata más lesz mint a régiek, akkor mi lesz a régiekkel? Azok jók lesznek úgy, ahogy vannak?

Még lehetne folytatni a kérdéseket, de teljességgel értelmetlen, mert vagy nem lesz rájuk válasz, vagy hazudnak valamit.

Pontosítva:
Először én is ezt hittem, de nem, a szoftver és az (el)tömítés-védelem az összes automatára vonatkozik (a már meglévőkre is), ezért nem számoltam hozzá a 13MFt-hoz (azért durva lenne egy plexilap +3MFt/automata áron):
"Nyúl Zoltán: Nem a tízhez kell szoftvert fejleszteni, hanem az automaták működéséhez kell szoftvert fejleszteni. Amit a régi és az új automatáknál is tudunk megfelelően használni. Amit a tömítés-védelem kapcsán mondott annak az üzenete nem a 10 automatához kapcsolódik, hanem a teljes automata állományhoz. "

Arról senki se beszél, hány ember munkáját veszik el ezek az automaták.
Már alig van nyitva rendes pénztár.

nem tudtad, hogy munkaerőhiány van?

a po'gármesternek is fizetnie kellet a kertjének a rendbetételéért, mert már közmunkásból sincs elég :(

mendmeghalunk! :/

És ez így van jól. Az automata hajnali 2-kor is ott van, tud(hatna) 7-8 nyelven, a külvárosban is ott lehet, nem csészi el a számlát, az igazolvány számot stb.

Ezen felül a pl. a kapu az nem csak a gyerekeknek és a terhes asszonyoknak nem nyílik, de a 110 kg-os Izom Tiboroknak sem.

Én abszolút automata párti vagyok.
--
http://naszta.hu

Én is, de azért ezt is sikerült olyan jól megoldani.

Külvárosokba azért nincs olyan hűdesok automata, viszont cserébe a boltokba, trafikokba való jegyértékesítést is megszüntették.

Én is, de azért ezt is sikerült olyan jól megoldani.

Külvárosokba azért nincs olyan hűdesok automata, viszont cserébe a boltokba, trafikokba való jegyértékesítést is megszüntették.

"Arról senki se beszél, hány ember munkáját veszik el ezek az automaták."

Szerintem elég sokan beszélnek, csak felesleges.

Egyrészt ezen beszélgetések közben valahogy senkinek nem jut eszébe végigszámolni, hogy cserébe hány embernek adnak munkát ezzel (ugyanis az automatákat le kell gyártani, kihelyezni, karbantartani, a szoftverét leprogramozni, frissíteni). Igaz ezek nem ugyanazok az emberek.

Másrészt lefogadom, hogy a szövőgép óta minden alkalommal amikor valami új levált egy régit ezek a beszélgetések megtörténnek.

Harmadrészt: Mi a megoldásod? Legyen mindenhol pénztáros, és ami potenciálisan jobb, hatékonyabb megoldás volna, azt ne használjuk? A mezőgazdaságból esetleg vonjuk ki a traktorokat, kombájnokat, és vegyünk fel néhány ezer embert kapálni/kaszálni, kézzel vagy ökrökkel szántani?

A mezőgazdaságba maradhatnak a traktorok, inkább a kemikáliákat, vízmegkötő tápokat kellene kivonni.
Kapálni meg traktor mellett sem ártana, ha járnál vidéken, láthatnád hogy
sok helyen felveri a gaz a portákat.
27 évvel ezelőtt minden udvarban volt háztáji, rendben volt tartva a környezet.
Most meg semmi sem éri meg, csak nézni a Szulejmánt a 160collos TV-ken.

maradjunk annyiban hogy ez legkevésbé a traktorokon múlik. A 19éves osztrák srác is mondta hogy a több mint 4 generáció óta fa ablakokkal & mindenféle fa feldolgozással foglalkozó üzemben sem tudják annyira tartani a versenyt, hiába ők látták el régen az egész környéket, pedig felfejlesztettek mindent, összeálltak sokan, övék a teljes lánc a nyersanyagtól a kivitelezésig: mégse. Kell keresni mást, át kell képeződni / több lábon kell állni. A kérdés az, hogy a felhalmozott értékes(?) tudást hogyan sikerül meg/át menteni a későbbiekben. Mondjuk az ő esetükben a felhalmozott eszközpark stb is kérdés..

A bezárt pénztárak és üfszolgálatok szerintem is idegesítőek, de nem az zavar hogy emberek munkáját veszi el a jegykiadó, hanem hogy órákba telik mire a) átvergődve a menürendszeren végre egy egységsugarúnál komolyabb emberhez kerülök b) eljutok egy köv. üfsz-ra.

A droid jellegű munkákat (jegy kiadás) pedig szerintem sokkal jobb hogy automatizálják: több helyen és gyorsabban juthatsz jegyhez, jó esetben 2-3 ember áll előtted.
ellenben erre fele hó elején kígyózó sorok álltak a jegypénztárnál reggel.. (pláne amíg nem adott dátumtól szólt :) )

Hogy a lófaszba jönnek ki ilyen szép kerek számok, hogy 130 millió, 50 millió és 30 millió?!

Úgy, hogy az alkotmányos költség 90%.

Jobb lenne a 129.984.219,- Ft? (csak, hogy ne legyen 10-el osztható :)

Én azokat a számlákat nem szoktam érteni, amik kijönnek valamilyen xFt-ra a végén, és nincs kerekítve (pl.: számlán egy tételsor, Szakértői munka, 1 nap: 2.584.751Ft) hogy jön ez ki? Miért nem akkor már 2,5MFt vagy 2,6MFt?

meg hogy jön ki az 51 a végén? milyen óradíj vagy anyámkínja egész számú szorzata végződik 51-re?

Oké, persze, matek, de van olyan, aki nem százasra kerekített árakkal dolgozik? (vagy mittomén 90, 99-re)
Hasraütésszerűnek tűnik az összeg tőle.

Ha a nettót (amit majd el tudsz költeni) veszed alapul, és hozzáadod a fizetendő sarcokat, akkor szinte bármire végződő szám kijöhet.

Bocsánat, de én szoktam például 7607 forintot fizetni, mert az 5990 forint + ÁFA így jön ki. Már csak a teljesen elborult 27 százalékos ÁFA miatt is rohadtul gyanús egy 10 millióra kerekített számla... :)

Ha ez a 10 milliós kerekítés és a tényleges számlázandó összeg közötti különbséget neked kellene fizetned zsebből, akkor is szeretnéd, ha kerekítsék? Mennyi pénzt ért meg az OCD?

Nalátod, a nettó összeg nálad is "kerek".
Szerintem a BKK cikkben is nettó árak szerepelnek, üzleti életben ritka, hogy bruttóval kalkulálnának, mivel úgyis visszaigénylik az ÁFÁt. A havidíjnál is nettó összeget írnak, valószínűleg a jegyautomaták és a fejlesztési költségek is nettó értendők.
Így már azért nem olyan fura a nettó 10MFt, inkább a nettó 9.857.847Ft lenne fura.

"Így már azért nem olyan fura a nettó 10MFt, inkább a nettó 9.857.847Ft lenne fura."

Nekem továbbra is fura. Éppen most építkezek, semminek nincs kerek nettó vagy bruttó ára, még a munkadíj is eléggé szór és a számla vége olyasmi, hogy nettó 641450 forint, bruttó 814261 forint. Egyszerűen a szép kerek számok mögött nincs valódi verseny vagy valódi teljesítés.

Ha adsz egy ajánlatot ekkora léptékben egy komplett valamire, akkor a túloldal fog rád furcsán nézni mondjuk a 9.857.847Ft+áfa-s árnál. Egy kivételt tudok elképzelni, mégpedig az, hogy valamilyen árfolyam alapján számolsz és szigorúan ragaszkodni kell hozzá, mert azért még ott is érdemes mondjuk ezresre felkerekíteni. A bolti 5990Ft-os, "ó ez csak ötezer" jellegű árazás pedig egyáltalán nem mérvadó vállalkozások között.

"Ha adsz egy ajánlatot ekkora léptékben egy komplett valamire, akkor a túloldal fog rád furcsán nézni mondjuk a 9.857.847Ft+áfa-s árnál."

Ha te fizetésedből vonnák le a felkerekített tízmillió és a 9.857.847 forint közötti 142.153 forintot, akkor is így gondolkodnál?
Ha adnál egy árajánlatot gálánsan felkerekített tíz millió forintról és a konkurensed nyerne 9.857.847 forintos ajánlattal, akkor is így gondolkodnál?

Vagy ez csak akkor van így, amikor nem a te pénztárcáddal verik a csalánt? Nem véletlenül írtam, hogy a szép kerek árajánlatok mögött nincs valódi teljesítés vagy valódi verseny.

1/3 jutottam, de mar sirok a rohogestol. Megprobalok vegere jutni.
Kossz a linket.

hát a levont konklúzió néhány pontja elég jóindulatú v. túl naiv?

Úgy gondolom kicsit félre ment ez a poszt:

"... egy olyan “újságíró” írt nagyelemzést egy szakmai eseményről, aki annyira hülye az adott szakmához ..."

Ezen az alapon csak orvos végzettségű újságíró írhatna cikket pl.: madárinfluenza járványról. Az újságírónak nem az a feladata, hogy profi legyen abban amiről ír, hanem, hogy összegyűjtse és rendszerezze adott témába vágó információkat, amely olyan emberketől származik akik pl. értenek hozzá.
Ha a fenti ügy bírósági szakaszba kerül, akkor sem a bírónak kell értenie az informatikához, hanem a felkér szakértő(k)nek.

"Ezután fogta magát és dobott két emailt a T-nek, majd elküldte a hibát a sajtónak. Igen, jól érted, és ezt a részét valahogy nem promózza a ballib sajtó: a kolléga nem várta meg amig reagál a szolgáltató, hanem publikálta a lyukat. A média (tudod melyik fele) pedig szétpörgette.
Szerintem a srác pont annyira felelős, mint a T-Systems, a BKK és a média – ebben a sorrendben."

Ebből nekem az jön le, hogy nem a srác publikálta a hibát, hanem a sajtó akinek elküldte. Normális esetben nem lehetne gond abból, hogy a sajtó is értesül ilyen esetrőr. Talán még jobb is, mert ha cikk megjelenése előtt megkérdezik a BKK vezért, mert elképzelhető, hogy így hamarabb értesül (márha értesül és nem akad el valahol a vállalati hiearchiában) a problémáról mint ha a vállalati szervezet dolgozza fel.

Ezek után a fenti felsorolásból épp a legelső helyen megjelölt személy az aki a legkevésbé sáros. A sajtót azért lehet ekézni, hogy túl hamar hozta nyilvánosságra az infót, de ez nem a srác felelőssége.

Ennek az inverze az augusztus 20-i vihar, ott az ügyeletes meteorológus volt a fő bűnös (és talán az egyetlen akit megbüntettel), mert nem riadóztatta személyesen a komplett kormányt és államigazgatást.

Ez arra hasonlít nekem, mikor a "nagytudásúak" ekézik a laikus betegeket, akik vagy azért hülyék mert x betegséggel orvoshoz mennek és terhelik az ellátórendszert vagy azért hülyék mert y betegséggel későn mennek orvoshoz, mert így drágább/nehezebb kezelni az adott betegséget. Viszont épp az orvos (jelen esetben a T-System/BKK/sajtó) van a megfelelő tudás birtokában, hogy mikor mit kell tenni.

'Ezen az alapon csak orvos végzettségű újságíró írhatna cikket pl.: madárinfluenza járványról. Az újságírónak nem az a feladata, hogy profi legyen abban amiről ír, hanem, hogy összegyűjtse és rendszerezze adott témába vágó információkat, amely olyan emberketől származik akik pl. értenek hozzá.'

ezért szoktak felkérni szakértőt. v. akár szakértőket, hogy ne jelenjen meg hülyeség, ugyanis ha a bődületes baromságokat elkerülik, akkor hitelesebb lesz a cikk.

de mivel ez egy index cikk, - és spórolni kell a közpénzel, mert kell a tulajnak - így a hitelesség volt a legkevésbé fontos. szemmel látható, hogy a laikus többség hirigelése, és megvezetése volt a közvetlen cél, hogy ne a haverokat kelljen elkaszálni.

tehát igazad van. csak ehhez magához az alap szakmához kéne érteni. mármint az újságíráshoz,
v. ha ez megvan, akkor a szakmai becsvágy hiányzik:)

Az augusztus 20-i viharnál már délután kiadtak egy legalább sárga riasztást.
Pont a meteorológia a legártatlanabb.
Valamint Gyurcsány még ki is posztolta hogy a Balatonnál van és látja hogy óriási vihar tart Pest felé.
Szilvássyék nem voltak hajlandóak leállítani a tüzijátékot, még akkor sem, mikor már lecsapott a vihar.
Egyértelmű a felső politikai vezetés 110%-os felelőssége.
Azóta egy 50KM/h szélnél is megy ki a vörös riasztás, mert f.snak a meteorógusok.

Úgy emlészem az ügyeletes meteorológus valami központi rendszerbe írta be, hogy vihar lesz. Ezt állítólag a többi hívatalnak figyelnie kellett volna.
A végén valami olyannal rugták ki, hogy jó-jó beírta oda, de mellette telefonon is szólnia kellett volna.
Szóval ő nem bűnös volt csak bűnbak.

Valami ilyet érzek ebben az esetben is, a srácon kívül minden szereplő hibázott (sajtó is, ha túl türelmetlen volt), de mégis a sráccal vitetik el a balhét.

Klasszikus probléma megoldás: Rá tudod kenni valakire? Igen -> probléma meg van oldva.

klasszikus manager hozzáállás :)

Az nem szép, hogy név szerint ekézi az újságírót, de ő nem adja a nevét a saját irományához... ez olyan gerinces dolog...
szerk.: Meg ezt az innostart-os infót honnan vette (miszerint ők követték el bérmunkában a shop.bkk.hu-t)? Forrásmegjelölés, vagy valami?

hol lattad ezt a szot? (innostart)

Esetleg a blogbejegyzésben?

ráböktem a linkre, Ctrl+F, inno, enter, nulla találat az oldalon. Gondolom te meg se nézted.

Akik csak Crtl+F-el tudnak olvasni... az "ez a cég" alatti linken van a megfejtés... ja igen, nem itt, hanem az eredeti blogbejegyzésben
"A BKK-s ügyben az alvállalkozó (ami állítólag ez a cég, de ezt az infót nem tudom megerősíteni) szerintem egyszerűen törölje magát a szakmából. A közvetlen felelősök pedig lehetőleg az életből. Sajnos tisztában vagyok vele, hogy tele van a hazai piac ilyen lókupecekkel, akik 40 éves kövér gyökerekkel kódoltatnak ekkora projecteket, okádék minőségben. Nagyon-nagyon remélem, hogy olyan kötbér volt a szerződésükben, ami generációkra földönfutóvá teszi a felelősöket."

Rosszul gondolod:

Ráböktem a linkre. Átfutottam. Nem alaposan, csak úgy nagyjából. De azt a szövegrészt már elsőre megtaláltam, amire vonatkozik ez a megjegyzés:
„A BKK-s ügyben az alvállalkozó (ami állítólag ez a cég, de ezt az infót nem tudom megerősíteni) szerintem egyszerűen törölje magát a szakmából.”

A zárójelben levő „ez” szó egy link. Arra kellett volna kattintanod, ami azért kitalálhat ez alapján:
„Meg ezt az innostart-os infót honnan vette (miszerint ők követték el bérmunkában a shop.bkk.hu-t)?”

Ja, hogy nem tudja megerositeni? Akkor az nincs ott. Nyilvan logikailag, nem fizikailag. Eddig ez csak FUD meg sardobalas.

Szerk: thmir-nek akartam, bocs :)

Én is ezt mondtam, végigfröcsögi a cikket egy újságírót ekézve, majd benyög olyan baromságokat, amiket nem tud megerősíteni. De azért leírja, legyen ott, még akkor is, ha lehet, hogy nem igaz...

Tudunk min hoborogni :) Lehet gabucino irta XD

Csak bennem van olyan érzés, hogy néhol össze van keveredve a két (BKK és Telekom) sztori?

Valamint lehet benne nem kevés frusztráció, talán sértődöttség is. Viszont summával nagyjából egyetértek, viszont nem a Kürt csinált auditot állítólag(a munkáikat ismerve én is kétlem, hogy nekik közük lenne hozzá).

A Kürt először a sajtóosztályával üzent az Indexnek, hogy bár a keretszrződésükbe beleférne, de nem kérte fel őket a BKK erre a projektre. Később a vezérigazgató azt nyilatkozta, hogy a fél éve kötött elektronikus jegyértékesítő rendszerre vonatkozó szerződés egy másik rendszert takar, ezért nem volt audit.

Az etikus, hogy az oldal mindenkit teljes névvel fikáz, közben az oldal szerzője meg teljesen anonym?
Ettől persze akár igaza is lehet, csak ez így ultra gáz.

közszereplőknél, cégneveknél v. inkább jogi személyek neveinél, és ahol korábban más forrásból már kiderültek a nevek, ott igen.

" a Google ingyenesen szolgáltat DNS-t és a világ józanabb fele ezt használja."

LOL
Józanabb fele, ezen besírtam.

hát bizony előfordult, hogy az otp.hu más ip-vel jött vissza a t-s dns serverről, mint a google-éről.

Anélkül, hogy melyik volt a jó, ez viszonylag kevés információt hordoz. ;-) T-s volt jó, Google-s vagy egyik sem?

nem volt kedvem kipróbálni:)

Ó igen, arra emlékszem. Éjszakai munka, amelyben IP címváltás történt. A TTL persze valahogy 86400 maradt a munka előtt és után is.

Csak felületesen ismerem a technológiát, de a round robin dns nem pont erről szól? Mármint hogy egy domainhez több ip tartozik, és esetleg nem mindig ugyanazt kapod, a terheléselosztást segítendő.

Igaz, az is egy opció, hogy mind a kettő cím jó volt.
Így aztán végképp nem hordoz szinte semmi információt, hogy a két cím eltért.

így gondolod?

$ host turner-tls.map.fastly.net
turner-tls.map.fastly.net has address 151.101.1.67
turner-tls.map.fastly.net has address 151.101.65.67
turner-tls.map.fastly.net has address 151.101.129.67
turner-tls.map.fastly.net has address 151.101.193.67
turner-tls.map.fastly.net has IPv6 address 2a04:4e42::323
turner-tls.map.fastly.net has IPv6 address 2a04:4e42:200::323
turner-tls.map.fastly.net has IPv6 address 2a04:4e42:400::323
turner-tls.map.fastly.net has IPv6 address 2a04:4e42:600::323

Az az egyik mód, ez a másik:

± host google.com
google.com has address 216.58.214.206
google.com has IPv6 address 2a00:1450:400d:807::200e
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.

± host google.com
google.com has address 172.217.16.110
google.com has IPv6 address 2a00:1450:400d:807::200e
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.

http://index.hu/tech/2017/07/27/oszre_uj_platformra_kerul_az_e-jegyrendszer/

"Nagyobb teherbírású és biztonságosabb, a támadások hárítására képes elektronikus jegyárusító rendszert rak össze a T-Systems, és ennek a költségeit maga állja"

Dehát a mostani költségeit is ők állták eddig (ha egyáltalán kifizetik ezt bárminek), a BKK csak a szolgáltatásért fizetett volna. Legalábbis Tarlós azt mondta, hogy a BKK egy fillért sem fizetett még ezért.
Így tehát ugyanott lesznek, lesz egy valamilyen szoftver, amit a BKK majd bérel 20-25MFt/hó (vagy több)-ért.

"Legalábbis Tarlós azt mondta, hogy a BKK egy fillért sem fizetett még ezért."

Gondolom ebből a "még" a lényeges. Egyébként volt egy cikk, hogy a szerződést is csak az indulás után egy-két nappal írták alá. El tudom képzelni, hogy a fejlesztésért, ha minden rendben ment volna, akkor is majd a következő hónapban fizetne (vagy fizet) a BKK.

A cikk nekem azt mondja, hogy a BKK egyet fizet kettőt kap akciós rendszert fog kapni, amit még nem kell kifizetnie.

Igen, úgy, ahogy írod.
Gondolom, hó végén kiszámlázta volna a T a havi bérleti díjat, mivel elvileg SaaS szolgáltatásról volt szó. Legalábbis a BKK is az elejétől azt hangoztatta, hogy ebből minden (infra, szoftver, elérés) a T-Systems-é, a BKK csak bérli az egészet havi 20-25MFt-ért. Tehát a szoftverfejlesztésért nem fizet(ett) a BKK, ahogy a most grátisz belengetett továbbfejlesztésért sem fog. Tehát nagyon gáláns a T, hogy ingyen fejleszti újra a rendszert, dehát eddig is ingyen dolgozott (ami majd visszajött volna a bérleti díjakból). Így csak "időt nyertek".
Az lenne a ténylegesen gáláns, ha lefejlesztené (mostmár jóra), majd x évig ingyen biztosítaná azt a BKK-nak, de a hírben erről szó sincs.

De ez nem eleve SaaS projekt volt? Ott ugye szolgáltatást ad el a T, senkit nem érdekel - elvileg - hogy mikor, és hogy fejleszti.

BTW: én nem emlékszem, hogy az O365 előfizetésemnél külön kéne fizetnem az Exchange Server fejlesztéséért a Microsoft-nak... :)
--
http://naszta.hu

Szerintem egyedi rendszernél nehéz SaaS-ról beszélni. Az Exchange Online vagy Office365 viszont egészen más történet, hiszen egy ismert és előre specifikált szolgáltatást szolgáltatást/szoftvert veszel meg olyan formán, hogy mindent az MS ad a szerver oldalon.

Miért ne lehetne egyedi fejlesztés is SaaS? A megrendelőt csak a szoftver/felület/végeredmény érdekli, az legyen használható, gyors, biztonságos, stb., valamint feleljen meg a megrendelő igényeinek. Az, hogy mi van mögötte, az nem érdekli, (ne neki kelljen megvennie a vasat hozzá) működjön jól.
Ja és még ami fontos, időszakos lebontásban (havi) kelljen érte fizetni(, még jobb, ha mindez terhelés/forgalom arányos is).

Persze magát a konstrukciót üzletileg lehet úgy hívni, bár technikailag nem lesz az. Ezzel szemben a SaaS vagy bármelyik aS végű egyik előnye nálam, hogy egy bejáratott és relatív kész megoldást veszel egy ismert problémára és hűségidő nélkül. Ebbe nálam beletartozik, hogy egy meglévő naaaagy infrára kerül a cucc és nem egy speciálisan a számára összerakottra és ráadásul egy adott célra fejlesztett szoftverrel. Az utolsó esetben ugyan hiába van havidíj, de a hűségidő vagy a fix szerződéshossz nem megúszható szerintem.

Az lehet, hogy nálad ezt jelenti, de ez sehol nincs ennyire konkrétan definiálva. Mint a rövidítésből adódik, aaS as-a-Service, tehát, mint szolgáltatást veszed igénybe. Ez lehet már kész, általános megoldás (pl.: O365) vagy egyedi alkalmazás is, az a lényeg, hogy ne az ügyfél vasain fusson, ne neki kelljen karbantartani, ne hozzá fussanak be a hibák, stb. Ő csak egy havidíjat fizessen, "amiben minden benne van".
Az, hogy milyen vasra kerül, szintén a szerződés határoz(hat)ja meg. Kérheted dedikált vasra is, de úgy biztos, hogy drágább lesz. Jelen esetben nincs arról infó, hogy a T dedikált vasra rakta a shop.bkk.hu-t, vagy a nagy T-Cloudból szakított ki egy szeletet (szerintem ez utóbbi) bár ez irreleváns is.

"hűségidő nélkül": ezt is szerződése válogatja, hogy van, vagy nincs hűségidő, forgalomarányosan, vagy fix összeget kell fizetni, hogyan és miként bontható fel, stb. Ez még akár egy lakossági aaS szerződésnél is tud bonyolult lenni (sarkított példa: mobilnet előfizetés) egy céges szerződésnél meg pláne.

Jelen esetben a szerződésben biztosan benne van, hogy ha működik a shop.bkk.hu, akkor még abban az esetben sem lehet felbontani, ha egyetlen vásárlás sem érkezik onnan. A T teljesít (elérhető az oldal), a bkk meg fizet minden hónapban.

Én is azt írtam, csak nem használtam a SaaS szót.

14.07.2017 14:49

„Biztonsági rést találtam a weboldalukon, a kosárba rakáskor a termék árának átírásával (POST requestben) annyiért veszek bérletet, amennyiért én akarok. (50 forintért vettem havibérletet.) Nem használtam fel a bérletet, célom világos és jó, nem követtem el bűncselekményt, mivel egyből jelentettem. Meglepő viszont, hogy én 18 éves vagyok, de már 13 évesen sem követtem el ilyen hibákat. Ha esetleg a jövőben egy közbeszerzésnél csak 90%-ot kellene visszaosztani, szívesen jelentkeznék. Már csak azért, mert a MÁV-nál például teljesen ingyen vehettem jegyet, de a Szerencsejáték Zrt. oldalán is tudtam magamnak pénzt kreálni. Röviden kifejezve: a közbeszerzések engem is érdekelnek, magasabb minőségben készítem el a feladatot, ugyanannyit osztok vissza.
Üdvözlettel: X. Y.”

Hiányzik a levél vége (itt az is olvasható):

"Az általam a közbeszerzésről leírtak szarkasztikus kritikát tartalmaznak, komolyan nem vehetőek, felelősségre vonható nem vagyok értük."

Ebből az utolsó félmondat nem biztos hogy megállja a helyét, ellenben az eleje azért jelez valamiféle utalást arra, hogy ezt a MÁV / Szerecsenjátékos bekezdést nem kéne komolyan venni.

Az azért nem kicsit tragikus, hogy úgy tűnik az elején az egész levelét vették semmibe, utána pedig az általa szarkasztikusnak jelzett részt veszik komolyan (a másik felét meg leszarják?).

Ezt itt fent pedig már egyszer leírtam.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Nekem csak az a furcsa, hogy ez a "hekker" 14:49-kor jóhiszeműen értesíti a BKK-t majd az Index 16:31-kor már kész cikket hoz le a témában úgy, hogy közben még kérdést is intéz a BKK-hoz (15:33-kor).
Elég sportos egy péntek délutánhoz képest.

Vagy...ők már más forrásból értesültek a fosságról, és utólag tették bele a gyereket. Gondolom az elkezdett menőzni pcforumon es lecsaptak ra.

A BKK-hoz írt levélben (15:33) rá hivatkoztak. Így sokkal inkább az Indexnél menőzött.

Az is lehet.
Ha hülye volt, akkor most rábaszott.

stage 3: bargaining

akár

http://magyaridok.hu/belfold/titkosszolgalati-vizsgalat-kibertamadasok-miatt-2014888/

----
"Kb. egy hónapja elkezdtem írni egy Coelho-emulátort, ami kattintásra generál random Coelho-kompatibilis tartalmat."

/o\

.

my oh my. Ez ám a fordulat, főleg ez után. Ez lesz a mi 9/11-ünk? Most gyorsan át kell tolni egy "hekkerellenes" törvényt ami még több jogot ad a karhatalmi szerveknek a hasonlóan "szofisztikált" fenyegetések kezelésére. Talán még a senkiföldje tranzitzónába is lehet szállítani kihallgatásra a fakockagyártókat meg a hekkereket, Guantanamó után szabadon.

A másodpercenként keletkező naplóbejegyzések száma az átlagos 300-400-ról 13 ezer fölé ugrott, ami óránként közel 47 millió bejegyzést jelent. Ennek hatására a felhasználók nem tudták elérni rendszert.

Ez azért még nem egy extrém nagyságrendű támadás, sőt, ennyit azért röhögve ki kellene szolgálnia. Ez is mutatja, hogy menyire gyenge minőségben lett megvalósítva.

Nem, ez lófasz, csak az egyszerű embereket el lehet kábítani nagyobb számokkal... :/

"A közzétett képernyőkép tanúbizonysága szerint az eredeti, shop kukac bkk pont hu-ra küldött, két bekezdéses bejelentőlevél 2017. július 14-én 14:49-kor kelt. A BKK hivatalos nyilatkozatát cáfolni szándékozó, újabb képernyőkép alapján egy második, kevésbé terhelő, egy bekezdéssel megrövidített e-mail, melyet az etikus hekkerként aposztrofált fiatalember már az ügyintézés szempontjából releváns bkk kukac bkk pont hu e-mail címre küldött, szintén 14-én 15:10-kor került feladásra.

Apró szépséghiba, hogy az online jegyértékesítési rendszer hibáival foglalkozó első cikk, ami az "etikus hekkertől" származó bejelentésre hivatkozik, még aznap 16:31-kor megszületett. A jó munkához idő kell persze, de ne engedjük, hogy a realitásérzékünk teljes mértékben eltérítsen minket, inkább feltételezzük, hogy egy ismeretlen forrásból érkező értesülés felülvizsgálatához, akár félkész anyagba illesztéséhez és publikálásához elegendő 45 perc.

Ezen megengedő és igen jóhiszemű logika mentén a BKK-nak nagyjából legfeljebb 36 perce lett volna arra, hogy érdemben kivizsgálja a bejelentést, megtegye a szükséges lépéseket és válaszoljon a panaszosnak, mielőtt ő a médiához fordult volna panaszával.
...
Bár a történet főbb részletei könnyen átláthatók és a tények birtokában egyszerűen értelmezhetők, egy kérdés mégis nyitva marad: vajon milyen csatornán kell egy 18 éves srácnak egy adott médiatermékhez fordulnia, hogy története kevesebb, mint egy órán belül címlapra kerüljön?"

https://888.hu/article-az-etikus-hacker-avagy-egy-alhir-margojara

----
"Kb. egy hónapja elkezdtem írni egy Coelho-emulátort, ami kattintásra generál random Coelho-kompatibilis tartalmat."

"A közzétett képernyőkép tanúbizonysága szerint az eredeti,

-ra küldött, két bekezdéses bejelentőlevél 2017. július 14-én 14:49-kor kelt. A BKK hivatalos nyilatkozatát cáfolni szándékozó, újabb képernyőkép alapján egy második, kevésbé terhelő, egy bekezdéssel megrövidített e-mail, melyet az etikus hekkerként aposztrofált fiatalember már az ügyintézés szempontjából releváns

e-mail címre küldött, szintén 14-én 15:10-kor került feladásra.
Apró szépséghiba, hogy az online jegyértékesítési rendszer hibáival foglalkozó első cikk, ami az "etikus hekkertől" származó bejelentésre hivatkozik, még aznap 16:31-kor megszületett. A jó munkához idő kell persze, de ne engedjük, hogy a realitásérzékünk teljes mértékben eltérítsen minket, inkább feltételezzük, hogy egy ismeretlen forrásból érkező értesülés felülvizsgálatához, akár félkész anyagba illesztéséhez és publikálásához elegendő 45 perc."

14:49 + 45 perc -> 15:34
15:10 + 45 perc -> 15:55

16:31 - 45 perc -> 15:46

14:49-16:21 -> 102 perc (1 óra 42 perc)
15:10-16:21 -> 81 perc (1 óra 21 perc)

Mire gondolt a költő a 45 percel, mert a cikkben szereplő időpontok között nincs 45 perc sehol sem. Mi történt 15:46-kor és ez miért nincs a cikkben?

Ezzel az erővel: Az autópályás balesetek miért kerülnek 10 percen belül cimlapra?
Egy kurvanagy botrányt nyilván hamarabb tesznek ki.

Másik téma:
Tiltja bármi is, hogy a médiához forduljak, miután megtettem a közérdekű bejelentést? Nem.

Van annak egy diszkrét bája, hogy az egyik újságíró ekéz egy srácot azzal, hogy egy másik újságíróhoz fordult.

Két olvasata lehet egy ilyen esetnek:

a, Ott hibázott, hogy hozzánk (újságírókhoz) fordult.
b, Nem a srác hibázott, hanem a kolléga (újságíró).

A cikk mintha az elsőre tenné a voksát.

Mondjuk a 888hu nem éppen sajtóorgánum xd

+1

...vajon milyen csatornán kell egy 18 éves srácnak egy adott közüzemhez fordulnia, hogy a hiba elhárítását kevesebb, mint egy napon belül megkezdjék?

Vajon ha 14:49-kor egy adott közüzemhez rossz e-mail címen fordulok, majd - miután leesett a tantusz - 15:11-kor helyes e-mail címre küldöm a bejelentést, az jó, ha 16:31-kor ország-világ elé tárom a sebezhetőséget, mert "nem kezdték meg időben a hibaelhárítást"? Ez jó és helyes?

Igen, ettől lesz _köz_érdekű a bejelentés :D:D

Ok, de legyen az is _köz_érdekű, ha kék-zöldre gumibotozva citálnak bíróság elé. :D

Mer miért is?

A bérletet pikpakk tudták érvényteleníteni, de egy emailt böfögni, hogy vizsgáljuk vagy valami, azt nem tudtak.

Nem állítottam ezzel kapcsolatban semmit. Arra akartam rávilágítani, hogy a bejelentéssel szerintem aznap nem foglalkozott senki, mivel még másnap délben is ott volt a hiba.

Fogalmam sincs arról hogy a sajtóban megjelent információk alapján történ-e hasonló visszaélés, de legfeljebb akkor lehetne mérgelődni a publicitás miatt. Ráadásul annyi féle egymásnak ellentmondó infó kering arról, hogy milyen címre és mikor küldött levelet az illető, hogy én ebben biztosan nem tudnék álláspontot foglalni.

Pl. te is állítod, hogy először rossz címre küldte a levelet. Viszont valamelyik jobboldali lap közölt egy képet valami zsaroló hangvételű levélről, amiben mégis az a cím szerepel a fejlécben. A másik lapok meg ugyanezen email címre (csak mondjuk kis/nagybetű különbségekkel, ami szintén miafasz) küldött levelet mutogattak először, csak a kínosabb bekezdések nélkül.

Szerintem a jó és helyes forgatókönyv az lett volna, ha a BKK az üzembe helyezés napjától kezdve 24/7 ügyfélszolgálatot tart fenn az ilyen bejelentésekre és legalább egy "Köszönjük a bejelentést, hamarosan utána járunk" jellegű infót visszaböfögnek. Ezzel szemben az emberekben az a kép él (és nem hiszem hogy messze van a valóságtól), hogy a BKK a sajtóból értesült arról hogy szar a rendszere és ijedtében azt sem tudta mit hazudjon gyorsan. A T-Systems aszisztálása a kommunikációban meg csak rátett egy lapáttal.

Azért én kíváncsi lennék a véleményedre arról, amit írtam.
Hol, mely lap közölt képet mely levélről, hisz a delikvens kettőt küldött, az elsőt a

-ra (14:49, vö. zsaroló hangvétel), a másodikat a

-ra (15:11) az inkriminált bekezdés nélkül? Hol láttál te mást?

Szerintem is jó, ha foglalkoznak a panaszokkal, de erre a célra úgy tűnik, van csatornájuk:

BKK Telefonos ügyfélszolgálat
Telefonszám (Call Center): +36 1 3 255 255
(az év minden napján 24 órában fogadjuk ügyfeleink hívását)
(Forrás: http://bkk.hu/magunkrol/elerhetoseg/)

Nem akarok kukacoskodni, de itt nincs emailcim :D

Masodik plz no flame pedig: a

nekem nem tunik

-nak.

Hízelgő hogy az én véleményem is számít valakinek :)

Szerintem sem volt etikus a sajtó megkeresése (függetlenül attól hogy mikor történt az), úgy gondolom hogy csak vonzó volt a 15 perc hírnév. Még ha valami szakmai fórumra írt volna, akkor sem látom hogy mi volt a srác célja ezzel a hencegésen túl.

A levelezős témára: A shop@bkk.hu-ra írt levél ugyebár két formában is megjárta a sajtót, egyszer a zsaroló hangvételű bekezdés nélkül, egyszer pedig azzal. Nekem időrendben valahogy így él a fejemben a sztori:
* Sajtó lehozta a hírt a hibákról és hogy a srác a BKK-t is értesítette. Mellékletként ezzel a képpel: https://4cdn.hu/kraken/image/upload/s--OaYIbLay--/72IbaUOI998QGS3ns.png
* BKK vezér azt állítja, hogy ez a cím nem is létezik, ezért nem reagáltak
* Sajtó mutat másik képet is, ami már a bkk@bkk.hu-ra ment, illetve egy olyan levelet is, amit a bérlet letiltásáról küldött a BKK a shop@bkk.hu-ról (elvileg automatikusan).
* Miután kiderült hogy a BKK valótlanul állította hogy rossz címre kaptak bejelentést, a valasz.hu közöl egy képet egy kinyomtatott emailről, ami szerintük az eredeti shop@bkk.hu-s levél: http://valasz.hu/data/cikk/12/4790/cikk_124790/bkkjegy.jpg

Ez utóbbi már bővebb tartalmú, az ebben elhangzottakkal cáfolják az "etikus" viselkedést. Nekem az a furcsa a két - elvileg azonos - levélben, hogy a címzett mező sem teljesen azonos: "shop" <shop@bkk.hu> vs BKK Shop <Shop@bkk.hu>

Ebből pedig számomra az jön le, hogy valaki hazudik (mindkét félnek lehet érdeke), ezért nincs is megrendíthetetlen véleményem erről, de szerintem pont nem is releváns az ügy szempontjából.

"Szerintem sem volt etikus a sajtó megkeresése"

Szerintem pont hogy de.

Ha elküldi a gyerek a hírt mondjuk ide, vagy hwsw, pcforum, bármilyen egyéb szennylap, mégis szerinted mi történt volna? Semmi. Lófasz.
Így, hogy az index hozta le, így kénytelenek voltak reagálni, mert lett valódi media coverage.

Az emailekről is már annyi fotó, kép, copypaste van, hogy szinte lehetetlen megmondani, melyik igazi, melyik hamisított (sajnos a köz+csatlós médiától nem áll messze ez).

Szerintem attól etikus egy hekk, hogy betartja a közérdekű bejelentés feltételeit. Pénzzé tette? Nem. (nem utazott vele, szándékában se állt [az nem érdekel, hogy lehetősége sem volt rá]). Szólt? Igen. Részletezte a problémát? Igen.

Egy ilyen hibánál a BKK/TSystems egyetlen etikus (haha) lépése az lett volna, ha kussolva leállítja a rendszert a picsába és akinek van e-jegye/e-bérlete, küld egy emailt, hogy bocsesz, légyszi válts ki ez alapján papír alapon. Mert ugye ilyet is lehetett.

Normális országban a cikkek alapján az ügyészség még pénteken megindította volna az eljárást. Nem azon nyekegne a nép, hogy etikus-e egy ekkora foshalmaz veszélyeiről értesíteni a lakosságot.

Lehet érvelni, hogy bezzeg a Google 90 napot ad mindig a Microsoftnak. Ott már meglevő adatokhoz férhetsz hozzá, kurva nagy mennyiségben. Itt egy frissen elindult, mindenki által csak böködött rendszer törvényszerűen kihasznált hibáira _előre_ szóltak. Ha a BKK lelöv(et)i a rendszert [még pénteken], akkor a 24.hu-s adathalmaz se jöhetett volna létre nagyon nagy valószínűséggel.

Az "effektív" és "etikus" szavak ugyan mindketten "e" betűvel kezdődnek, a jelentésük ugyanakkor markánsan különbözik. Sajnos nyugatkán is.

#educateyourself

faj az anusz? kenegessed

Sok dolgot összemosol és olyan dolgokkal vitatkozol, amiről említést sem tettem a hozzászólásomban.

Arról hogy mekkora reakcióidővel reagált volna a T-Systems ha nincs a sajtó, neked sincs fogalmad, ezért ilyen feltételezésekre alapozni az érveidet csacsiság.

Továbbra is úgy gondolom, hogy nem volt etikus a srác viselkedése (itt most konkrétan a sajtó megkeresésére gondolok). Az az érv hogy csak azért fordult egy online sajtóhoz, hogy mielőbb javítsák a hibát, számomra nem hihető. Ha tényleg a hiba mielőbbi kijavítása lett volna a cél, akkor csak felvette volna a telefont vagy írt volna még pár levelet, hogy "Mi van már?". Mivel ilyesmi nem történt, ezért elképzelhetőbbnek tartom, hogy egyszerűen csak szeretett volna felvágni.

Más kérdés az olyan hibák nyilvánosságra hozatala, mint a plaintext jelszavak és az adatlopás lehetősége, ezekről szerintem is mielőbb értesülniük kell a felhasználóknak. Viszont az hogy 50 Ft a bérlet ha módosítod a postolt adatokat, nem közérdekű infó szerintem.

Bocs, nem csak neked szol, mas is rugozik ezen.

Vegehez: de, kozerdeku, mert a "mi adonkbol" mukodo ceget karosit meg, aki 50 forintert vesz berletet.

Ebben egyetértünk, viszont szerintem pont emiatt kellett volna nagyobb együttműködést mutatnia a srácnak és a sajtónak is. Én azt feltételezem, hogy nagyobb a veszélye egy széles körben ismert és javítatlan hiba rossz szándékú kihasználásának mint egy ismeretlennek (feltéve hogy javítják/lekapcsolják a hibás szolgáltatást).

Igazad van.

Ez pont nemigaz, mert nemigen lehetett megkárositani igy a céget. Ha nem hisszük el, hogy eleve volt monitoring a rendszerben ami utólag kiszúrta az ilyet, akkor is egy 10 mp-es sql lekérdezéssel megoldható az összes "hamis" bérlet kiszűrése. Egy másik 10 mp alatt, pedig mellé lehet joinolni a bankkártya adatokból a konkrét elkövetők listáját, ha valaki szükségét érzi.

Szóval ez minden volt csak nem reális megkárositás.

De nem volt ilyen sql. Van egyáltalán ilyen tábla, ami a valójában kifizetett összeget tartalmazza?

Ez már kármentés, amikor utólag nézed, hányat basztak át. Oké, hogy karnyújtásnyira van az adat, nem kell szó szerint futnod a pénzed után, de attól még ez kármentés.

Nem volt ilyen sql? Nocsak, T-s vagy?

Miért ne tárolhatná a kifizetett összeget a saját rendszerük?

Nevezd akkor kármentésnek, de én még mindig nem látom hol történhetett itt a sokak által vizionált állami cég kifosztása? Szerintem itt pontosan 0 ft anyagi kár volt veszélyben és végtelen sok erkölcsi kár.

Nem, halaistennek.

Ha lenne, mar bekohogtek volna, hogy 38 masik embert is feljelentettek 50forintozas miatt. De nem, mert gecire fingjuk sincs, mi tortenik a sajat rendszerukben.

Bocs, de itt mar _majdnem_ tortent egy 9450 forintos kar. Azert csak majdnem, mert a srac szolt.

Azt mondták minden támadás esetén megtették a szükséges lépéseket. De a kialakult balhé miatt még ha fel is jelentettek még valakit, azt se jelentenék be a sajtóban. De valószinű nem jelentettek fel senki mást és nem azért mert nem tudják megirni azt a 10 mp alatt megirható sql-t...

:D

Már az is érdekes lenne, ha elmentenék a bankkártya adatait. Valamint nem lehetetlen lopott kártya adatokkal vásárolni.

Jó, de mekkora realitása van annak, hogy lopott kártyával vásárolsz, és biztos ami biztos, felnyomod a webshopot is? :)
Mintha elmennél betörni, és utána kukákat döntögetsz az utcán hazafelé, hogy biztosan feltűnjön valakinek.

Meg lopott kártyával nem olyasmit vesz az ember, ami személyhez köthető és használat előtt fel kell mutatni az ellenőrnek és a mellette álló köztereseknek. :)

Minek kéne a bankkártya adatait elmenteni? A nevét az illetőnek el kell, hiszen bemutatáskor is le lehet kérdezni kinek a nevén van a bérlet. Az meg, hogy mennyit fizetett a bérletért szintén ott lehet a táblában, miért ne lenne?

A lopott kártyával névre szóló bérletet venni kolosszális ötletnek tűnik :)
Ja várj, tudom, személyit is lopott vagy hamisitott a sok hacker hozzá, ez az évszázad bűntette lesz :)

egyet értek @Jason-el abban hogy a botrányvezérelt management ingerküszöbét csak egy a seggüket veszélyeztető shitstorm éri el. (és nem kell hozzá bkk vagy tsystems alkalmazottnak lenni ez egy általános probléma)

lol, valaki erti, mire gondolt a szerzo.

Szanalmas, hogy egy szakmai nulla munkaban, amit a T muvelt, az emberek politikat kevernek. Jol seggbe kellett volna baszni T-t, aztan kesz.

Mutogat a ket+ agymosott birka csoport egymasra. Kb mint, vmi fradi ujpest szurkolok, akik azert harcolnak, hogy ki legyen a kiraly a szemetdombon.

Baszki, középiskolában 45 perc volt egy nagydolgozat megírására irodalomból... az index cikkben pedig egy blokk volt az 50 forintos jegy, foglalkoztak ott a CAPTCHA hibával és más apróságokkal...

http://magyaridok.hu/velemeny/bkk-ugy-minden-hazugsag-2-resz-2017072/

----
"Kb. egy hónapja elkezdtem írni egy Coelho-emulátort, ami kattintásra generál random Coelho-kompatibilis tartalmat."

Köszi, ez most reggel jól esett.

Itt már majdnem bepisiltem a nevetéstől:
"A BKK-nak nem kellett közbeszerzést kiírnia erre a feladatra, ugyanis egy már meglévő, „dobozban lévő” rendszert vásárolt meg, ráadásul egy olyan cégtől, amellyel már eleve szerződésben állt."

Különben ugyanez lett volna az eredmény. Akkor meg nem kár a felesleges körökért? :)

(Ezt a linket nem olvastam el - nem is fogom -, pedig itt a hup-on el szoktam olvasni a linkelt anyagokat, elnézést érte!)
--
http://naszta.hu

Semmi gond, én is csak azért olvastam el, mert biztos voltam benne, hogy a Szerecsenmosdatás-szakértő Bayer Zsolt hatékonyan tudja a munkáját végezni.

Ez a buli egyre jobb: http://magyaridok.hu/belfold/negy-hetig-teszteltek-bkk-jegyrendszert-2020411/

"előzetesen négy héten át tesztelték [a BKK szakemberei]" ... "Mintegy 450 hibát találtak és jeleztek [a BKK szakemberei] (...)" ...

Most jön a lényeg: "Információink szerint a rendszert vezérlő program több száz gyenge pontja között volt az is, amelyet a július 13-i indulást követő napon a magát etikus hekkernek nevező illető megtalált."
Most jön a kérdés: mivel ismert bug volt, emiatt a feljelentett gyerek rosszabb elbírálásra számíthat?

(Maga a cikk kurva nagy kamunak tűnik elsőre.)

nem tűnik ... az is

LOL :D Inkább a hírcsárdát olvass.

Ők nem posztolnak ilyen gyakran :D

Ja négy hétig tesztelték.. a mit is? Amikor még szerződés sem volt rá. Úgy tűnik a közpénzekből ezek az igen alapos munkák így bemondásra mennek... nem mintha ez sokkoló lenne eddigi ismereteink alapján.

key west-ről tesztelték, hogy hiteles legyen, csak a beachen gyenge volt a wifi

De most komolyan, mekkora lehet a befoscsy, ha hétfő hajnali 05:50-kor élesített cikkben magyaráznak?

Akkor nézzük a fő megállapításokat a cikkben:
- a "rendszer" tökéletes
-- a BKK június 16 óta teszteli a rendszert, a BKK minden hibát észrevett, pontosan !négyszázötven! darabot, erről jegyzőkönyv is készült, amit Magenta-Man képviseletében aláírt valaki és papírjuk van róla megígérték kijavítják, minden azóta nyilvánosságra került hiba benne volt ebben, a BKK tökéletes a sajtó lejáratókampánya ellenére is
-- a személyes adatok teljes biztonságban voltak, az csak belső kiszivárogtatás útján kerülhetett ki
- majd az EY consulting kideríti mi is történt pontosan

Akkor reality check:
- pont 450? ez olyan hasraütős számnak tűnik, de véletelenül még lehet is
- de ha 450-et megtalált a BKK, és ebben minden amire azóta rájöttünk benne volt, akkor a rendszer élesre állításakor a "tökéletes" BKK hogyhogy nem vette észre, hogy nem lett minden befoltozva? (ha voltak szakembereik és kapacitásuk a 450 hiba korábbi kiszűrésére, a pontos hibák ismeretében nagyságrendekkel egyszerűbb és gyorsabb a konkrét javítás ellenőrzése, mindezek alapján ez az egész állításkör roppant BS szagú)
- azt mondják az adatok teljes biztonságban voltak, meg azt is, hogy minden nyilvánosságra került hibáról tudtak majd egy hónapra előre, a cleartext encoding, már ha benne volt a 450-ben, akkor ezt kizárja, ha nem volt benne akkor mégsem vettek mindent észre, azt meg ezek szerint végképp nem vették észre, hogy a mentés publikus könyvtárba megy, mert ha észrevették volna akkor nem mernék azt állítani, hogy teljes biztonságban voltak az adatok

Hiányolom a cikkből az alábbi buzzwordöket: aknamunka, szabotázs, Soros, Simicska, migráns, Brüsszel, megvédjük
No nem baj a következő cikkben majd biztosan pótolják ezeket is.

Ez az EY ugyanaz az EY, ami anno olyan jól megcsinálta a StartSSL auditját, hogy semmit nem találtak, aztán az összes böngésző mégis kicsapta a megbízható rootok közül és a Mozilla már nem fogad el auditot az EY Hong Kongtól? :)

https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Igen.

Azszép...
--
http://naszta.hu

Ah, azt hittem egy szó lesz a cikk: "sehogy" :D

jaja. Amúgy az itma-s cikk tényleg jó. Most értem a végére.

álmodik a nyomor.

nem jut a kádereknek, nem lesz belőle semmi.

a bkk iránti bizalom meg egyetlen vezetőt sem érdekel, amíg pénzt lehet kivenni belőle.

soha nem fognak belemenni egy nyílt rendszerbe, ahol a saját adataidat magad ellenőrizheted. kiderülhetne hogy az állam mire használja az adataidat a tudtod nélkül, és mire ez a nagy gépesítés a közigazgatásban.

Azért nyomornak nem mondanám, de süt belőle az idealizmus.
Ilyesmikre reális esélyek csak olyan helyzetekben vannak, amikor a rendszert teljesen borítják, ott is csak addig, amíg az új klientúra ki nem termelődik, és visszaáll a "régi rend" új emberekkel, esetleg kissé más címekkel, hatáskörökkel, struktúrákkal.
Sokan azt mondják "1989-ben tetszettek volna forradalmat csinálni", de még ha meg is lépik, és akkor egy rövid ideig ilyen jellegű haladó, előremutató dolgokat lehetett volna csinálni, de tartok tőre mára ugyanitt tartanánk, talán még egy évtizedre ugyanattól ami most van.
Akármit csinálunk Machiavelli kitermeli ugyanazokat a struktúrákat/módszereket/embereket idővel újra.

10 évente Purge? :)

És már itt is van, friss, mai, ropogós : https://www.profession.hu/allas/rendszergazda-linux-budapesti-kozlekedesi-ugyfelkapcsolatok-zrt-budapest-1056186
--
God bless you, Captain Hindsight..

Elvárások: Linux ismeret, Linux telepítés, Linux ez-az, ... ... MS Office :D

Dokumentálni kell a munkát, és a főnök csak docx-et tud megnyitni.

https://www.youtube.com/watch?v=OF8sy_Cx9Ts

----
"Kb. egy hónapja elkezdtem írni egy Coelho-emulátort, ami kattintásra generál random Coelho-kompatibilis tartalmat."

#based #magyartrump <3

Kellemetlen lehet amikor a sajtótájékoztatóra a régi jó hagyományok szerint újságírókat invitálnak meg ugye, és akkor azok helyett ilyen (((Tenczer Gábor-félék))) jönnek fitymálni :(

Megoldanám e problémát ott helyben szívesen. Csak amnesztiát kérek cserébe.

"Tenczer Gábor-félék"
Tudsz egy ilyen listat mondani kik ezek? Es mit jelent szamodra, az, hogy "Tenczer Gábor-félék"?

Esetleg nekunk halandoknak is fel kell keszulnunk mar most az ilyen emberek ellen? Kezdjuk megvenni a alupapirt, hogy leblokkoljuk az ilyen rossz emberek befolyasolasat?

http://pestisracok.hu/az-etikus-hekker-utan-itt-trefas-hekker/

----
"Kb. egy hónapja elkezdtem írni egy Coelho-emulátort, ami kattintásra generál random Coelho-kompatibilis tartalmat."

Felkeszul: a kovetkezo, TSystems altal keszitett BKK alkalmazas.

https://forbes.hu/legyel-jobb/a-bkk-botrannyal-magyarorszag-digitalis-jovojet-kockaztatjuk/

https://forbes.hu/uzlet/egy-allami-alapbol-600-millior-fektetnek-a-kiberbiztonsagba/

----
"Kb. egy hónapja elkezdtem írni egy Coelho-emulátort, ami kattintásra generál random Coelho-kompatibilis tartalmat."

Nem mondom, hogy tökéletesen járt el a srác, de amennyire egy 18 évestől telik, viszonylag elfogadhatóan kezelte a helyzetet, az emailekbe írt pikírt megjegyzéseket figyelmen kívül hagyva. Nem értem miért írják ennyi helyen (ez az általam eddig soha nem látott Forbes.hu is kormányközeli?), hogy a "hekker" hozta nyilvánosságra a sérülékenységet. Amennyire én tudom, ő elküldte egy újságírónak. Ez nem nyilvánosságra hozatal. A Wikileaks is elküldte egy halom újságnak a cuccost, azok meg szépen ültek rajta amíg nem sikerült tisztázniuk, hogy ezt most akkor mikor és hogyan tudják nyilvánosságra hozni. Az újságírói szakmának is megvannak az etikai és egyéb szabályai. Az ordas hibát ebből a szempontból az újságíró követte el szerintem. (nem vitatom, hogy amit a srác tett az kimeríti a rendszer manipulálását, de nem ő hozta nyilvánosságra, és mintha azt írták volna telefonált is a BKK-nak rögtön -> hiába meríti ki a paragrafust, ha nem származott semmi előnye belőle, a társadalomra veszélyessége jelentéktelen, és egyből megosztotta az érintettel az információt - szerintem ha a sajtó a szabályok szigorúbb betartásával járt volna el, akkor nem lett volna ekkora ügy az egészből -> a srácnak sem kellene ekkora kanosszát járnia, pl nem tudom miért nem kérdezi senki, hogy az érintett újságíró a publikálás előtt megkérdezte-e a BKK-t, hogy mikor/hogyan közölheti le a sérülékenységet, hogy be legyen foltozva mikor megjelenik, vagy addig semmi olyan részlet ne derüljön ki, hogy a konkrét sérülékenység kiderüljön?).

Annyi csúsztatás van az egészben, csodálkoznék ha a végén bárki tisztán látna.

Alapvetően igazad van abban, hogy az újságírók is hibáztak, sőt, ők hibáztak a legnagyobbat.
Azonban a "srác" is, aki nem kezelte kellően profin az egészet az elején, akarta az 5 perc hírnevet (megkapta), illetve trollkodott is egyet a rendszerrel. Nem kellett volna. Ha nem így jár el, hanem megpróbál eljutni a megfelelő emberig a BKK-nál (aki esetleg továbbirányítja a T-hez), aki érti is, hogy mit talált, akkor kisebb a valószínűsége, hogy feljelentik. De így, hogy _azonnal_ kipublikálta (az elején talán twitterre?) illetve elküldte a sajtónak, amely 2 órán belül lehozta, mindkét cég támadásnak vette, és ennek megfelelően reagált.

Az "újságíró" meg, hát igen... Talán 10 tényfeltáró újságíró van Mo-on, akik a Wikileaks-es esethez hasonlóan jártak volna el, és csak kellő utánajárás, utánakérdezés, mérlegelés után publikálták volna. Az összes többi bértollnok meg imád hangulatot kelteni, trollkodni a rendszerrel, sz*rt kavarni, főleg, ha egy (a mindenkori) kormányhoz köthető bármiről van szó. Az mindegy, ha nem igaz, vagy nem úgy igaz, amit írnak, a lényeg, hogy le legyen írva és olvassák (nem csak ebben a konkrét esetben, sok más témában is).
Az egész ott indult, hogy minden "hírportál" azonnal tesztelni akarta a rendszert, és az összes arra hegyezte ki a cikkét, hogy mivel lehetne jól lejáratni a BKK-t és az e-ticket-et ("így sz*r, úgy sz*r, mobilnet kell hozzá, lobogtassam a személyimet is, ugyanannyiba kerül, csak a VB miatt kellett", stb.). Tőlük indult az is, hogy "jajj, plaintextben visszaküldték a jelszavamat, most vége világnak", amire a "hackerek" felkapták a fejüket és elkezdtek próbálkozni. Ha nincs ez az "újságírói" hype (lejáratás), lehet el sem jutunk eddig, vagy ha igen, akkor más kifejlettel.
Ezt, hogy 50Ft-ért tudott venni bérletet, egyből lehozták, pedig gondolom a "hogyan"ból egy rohadt szót sem értettek, de amikor hozzájuk került a lementett adatbázis, ahhoz már nyulak voltak, hogy teljes egészében publikálják (tudom, törvényszerűen jártak el, átadták a NEIH-nek). Ehelyett mutogattak egy homályos screenshotot, amiben 2016-os dátumok szerepelnek...

Megjegyzem, szerintem is egy halom f*s amit a T összedobott, viszont az egész történet minden oldalról rosszul volt/van kezelve, és ez a legrosszabb benne.

"hiába meríti ki a paragrafust"
nem meriti ki, mert: lasd a mondatod veget.

"hogy az érintett újságíró a publikálás előtt megkérdezte-e a BKK-t"
az allami cegek sportot uznek abbol, hogy nem valaszolnak "ellenzeki" lapoknak. Lehet el se olvastak a levelet, nem ez lenne az elso eset. Se a 16ezredik.

Ha a következmények országa leszünk, vajon mi lesz itt ?

Ettől szerintem nem kell félni. Ha erre gondolsz, akkor lehet, hogy csak valami súlyos félreértésről van szó, és a két szereplő hamarosan felbukkan állami cégben hasonló pozícióban...

mármint *khm* az új bkk webshopot szállító alvállalkozói lánc valamely szintjén :) *khm* :D

Ők végzik az új rendszer auditját. Tapasztalat megvan. :D
--
http://naszta.hu

Igen. De vajon mikor lesz egy olyan, hogy IT Dev / IT Ops / IT Sec kamara lehessen, mint az építészeknél, ügyvédeknél, orvosoknál.

ok, ez troll gyanús, de akkoris.

PL: x,y public scanneren átmegy web oldalról, static code kütyün (Sonar, PMD, etc), egyéb csúnya toolon. És ha ezeket felmutatja, mint az x,y,z compliatot (w3c cuccok, owasp, etc) akkor azt mondod hogy hátha.

ITIL, Cyber security standards nem is merem kérni. Perf tesztek, forráskód, release és document standardok. Idea. De basszus. Egy statikus es jogász fel tud mutatni olyan dolgokat amiket betartatnak és elvárnak tőle. Mi mit? Települjön? Üzemeltethető legyen? Mérhető legyen? Etc.

Tudom, hogy a szakmánk a misztifikálásról szól, eladni a 2 percet 2 hétnek / hónapnak, a copy & pase-ot munkának, a paraméterezést kódolásnak, a tesztelést elhagyható húzható tényezőnek, de na. :)

uff. :)

Csalódtam. A "megoldjuk bárhogy gányolva hackkel" (mert más úgyse tudja) és a "csak standardok mentjén" (mert valahol mérnökök vagyunk) közötti libikóka ez évek óta. És generáljuk mi magunk. Lehet ezért van szakmánk valójában?

A cím: "Repültek a BKK-ügyben érintett T-Systems-fejesek" és a valóság: Céges repülővel repülhettek el egy 2 hetes ingyen nyaralásra Korzikára :)

--
ESET és Synology hivatalos viszonteladó