В Венгрии задержали подростка, обнаружившего «дыру» в системе продажи билетов Статьи редакции
Подросток смог снизить цену на билет на сайте, сообщил об этом транспортной компании, но его сочли хакером и заявили в полицию.
В Венгрии 18-летний подросток нашёл недостатки в системе онлайн-продажи билетов на общественный транспорт Будапешта, из-за которых «любой, кто хоть немного понимает принципы работы современных браузеров», мог изменить их стоимость.
Подросток использовал инструменты разработчика в браузере, изменил исходный код страницы, поменял сумму стоимости билета и смог купить месячный проездной за 0,2 евро вместо 30 евро.
Просто нажав F12, «хакер» смог изменить цену на билет прямо в браузере, и из-за отсутствия проверки на сервере билет удалось купить по новой цене.
После покупки билета подросток связался с транспортной компанией, сообщив им о «серьёзной проблеме». Через четыре дня ему ответили, сказав, что его билет был признан недействительным, но другой информации он не получил. После того, как СМИ начали публиковать сообщения о происшествии, транспортная компания попыталась объяснить его «хакерской атакой».
Инцидент произошёл 14 июля. 21 июля, после того как транспортная компания завершила расследование, домой к подростку пришли полицейские. Его арестовали, доставили на допрос, предъявили ему обвинения и отпустили через несколько часов. Отмечается, что он жил не в Будапеште и не мог воспользоваться билетом.
Председатель компании сказал, что «он лично обеспокоен ситуацией, но у них не было другого выхода, кроме как заявить о неизвестном правонарушителе в полицию».
Инцидент вызвал недовольство, и многие пользователи Фейсбука начали занижать рейтинг страницы транспортной компании и оценивать её одной звёздочкой из возможных пяти. Оценки поставили около 45 тысяч человек. Сайт компании «упал» из-за атак. Сам подросток поблагодарил всех, кто вступился за него, и сказал, что не намерен комментировать ситуацию до тех пор, пока полиция не завершит расследование и не состоится суд.
Венгры — russian style as is
Вообще-то, это - уязвимость. В логике, да, но всё равно. Если сервер не проверяет, какую именно сумму оплатил пользователь, это плохой сервер)
Я так два года назад "взломал" TimePad: там при изменении перед оплатой билета суммы к оплате в POST-форме сервис смотрел только на сам факт оплаты, не проверяя сумму. Написал об этом в TimePad, они оставили мне этот билет в качестве благодарности за найденную уязвимость=)
Хех, было бы странно, если полиция/СМИ прозвали его "РУССКИЙ ХАЦКЕР"