BKK e-jegy, adatlopás, MD5 titkosítás elavult

Információk alapján úgy tűnik, a BKK online jegyértékesítőjében (shop.bkk.hu) regisztrált 3481 felhasználó adatai köszönnek vissza benne. Minden: teljes név, felhasználónév, e-mail cím, az igazolvány típusa és száma.

A rendszer úgy működött, hogy a felhasználónevet és a jelszót emailben visszaküldték az adott felhasználónak, ez arra utal, hogy az adatokat mindenféle titkosítás nélkül, sima szövegként tárolhatták.

http://24.hu/tech/2017/07/25/regisztralt-a-bkk-e-jegy-rendszereben-hozzaferhettek-az-adataihoz/

Az látszik, hogy a publikusan elérhető naplófájlokban volt egy bizonyos szintű védelem, egy elavult MD5 (hash) módszerrel voltak tárolva az adatok, azokat így még mindig könnyedén vissza lehetett fejteni.

Mint a szakember magyarázza: „Az egyirányú függvények úgy működnek, hogy az egyik irányban nagyon könnyű őket kiszámolni, a másik irányban pedig nehéz. Ez utóbbi arra hagyatkozik, hogy matematikailag meg lehet mondani, mekkora számítási kapacitás kell ahhoz, hogy kiszámoljuk. Ahogy nő a számítógépek képessége, úgy egy-egy hash függvény elavulttá válik. Pont ez a probléma az MD5-tel, hogy erre léteznek már algoritmusok, melyekkel vissza lehet fejteni az eredeti jelszót. Az általánosságban elmondható, hogy ha valaki MD5-öt használ, ismeri a titkosítási alapelvet, de nem a megfelelő függvényt, az aktuális szabványt használja.

Blue Box Forever