18-jähriger Hacker tut seiner Stadt etwas Gutes – und wird direkt verhaftet

Bugs gibt es überall – aber nicht häufig liegen sie derart offensichtlich im Netz herum wie bei den Öffis in Budapest.

Das dachte sich auch ein 18-Jähriger, der auf der Website der ungarischen ÖPNV-Seite Budapesti Közlekedési Központ (BKK) mit den Entwicklertools herumspielte – und feststellte, dass die Seite sagenhaft schlecht abgesichert war, so dass sich jeder mit einem Pay-What-You-Want-System seinen eigenen Ticketpreis aussuchen konnte.

Im kürzlich aufgesetzte Online-Bezahlsystem für E-Tickets, das T-Onlines Beratersparte T-Systems installiert hatte, klafften am 14. Juni peinliche Lücken, die einfach zu groß waren, um sie zu ignorieren. Ein einziger Klick auf F12 – die Funktion, die im Browser den Quellcode zur Bearbeitung aufruft – eröffnete dem Teenager und potentiell jedem Kunden ungeahnte Möglichkeiten, das System auszutricksen.

Für die Ausgabe der Tickets gab es weder eine serverseitige noch eine clientseitige Validierung, im Klartext: Man konnte sich den gewünschten Ticketpreis ganz einfach selbst in den Code schreiben. Genau das tat der Hacker zu Demonstrationszwecken und kaufte sich eine Monatskarte zum Schnäppchenpreis von 20 Cent statt umgerechnet 35 Euro.

Und weil er ein braver Junge ist, berichtete der Nachwuchs-Sicherheitsforscher dem Unternehmen prompt öffentlich von seinem Fund und gab den Verantwortlichen die dringend nötige Empfehlung mit: "Kriegt eure Server-Sicherheit mal in den Griff!"

Doch anstatt den Whitehat-Hacker zu loben oder ihm sogar eine Belohnung zu geben, wie das große Unternehmen wie Google und Apple mit ihren Bounty-Hunter-Programmen regelmäßig tun, entschloss sich die BKK zu einem anderen Schritt: Die Firma rief die Polizei und ließ den Hacker verhaften. Mitten in der Nacht. Und das, obwohl er das verbilligte Ticket gar nicht benutzt hatte und dies auch gar nicht gekonnt hätte, da er gar nicht in der Nähe von Budapest lebte, wie die auf IT-Sicherheit spezialisierte Seite Bleeping Computer berichtet.

In einer Pressekonferenz am nächsten Tag brüstete sich die BKK sogar noch mit der Verhaftung des gefährlichen Hackers und rühmte sich damit, die Systeme seien "sicher".

Auch das entpuppte sich höchstens als eine kreative Auslegung der Realität, wie sich spätestens herausstelte, als ein Twitter-Nutzer den Admin-Zugang in der Software mit dem sehr schlechten Standard-Passwort 'adminadmin' knacken konnte.

Offenbar wollte man von der unschönen Wahrheit ablenken: Denn der Online-Ticketshop war wohl ein hastig fertiggestelltes Projekt, das in drei Monaten zusammengeschustert wurde, um das Bezahlsystem noch vor einer Großveranstaltung in Budapest an den Start zu bringen, wie DailyDot berichtet. BKK machte sich noch mehr zum Gespött, als in den folgenden Tagen die Nachricht die Runde machte, dass die Transportfirma nicht nur eine Million Dollar im Jahr an T-Systems Ungarn für die Sicherung ihrer Systeme blechte, sondern eben jenes T-Systems in Ungarn gerade einen öffentlichen Wettbewerb für "ethisches Hacking" gesponsort hatte.

T-Systems und die BKK haben nun ein Problem: 46.000 Ein-Stern-Bewertungen als wütende Reaktion auf die Verhaftung des jungen Hackers. Es ist eine – zugegeben leichte – Form des öffentlichen internationalen Protests, die in diesem Ausmaß wohl ungesehen ist.

Die Nachrichten, die Nutzer auf der Review-Seite der Unternehmen hinterlassen haben, lesen sich zumeist ähnlich und sind im Stile des Hilferufs verfasst, mit dem sich der unbekannte junge Hacker an die ungarische Presse gewendet hat:

"Die BKK hat mir vier Tage nicht geantwortet, aber in ihrer Pressekonferenz verkündet, es sei eine Cyberattacke gewesen, die der Polizei gemeldet wurde. Ich habe bloß einen Amateurfehler gefunden, der von vielen Menschen ausgenutzt werden konnte. (…) Kurz nach meiner Festnahme habe ich meinen Job verloren. (…) Ich bitte euch, diesen Beitrag anonym zu teilen, damit BKK versteht, dass ich nur helfen und nicht schaden wollte. Ich hoffe, dass die BKK ihre Anzeige zurückzieht."

Bis dahin sollte sich die BKK wohl einen anderen Partner zur Sicherung ihrere Systeme suchen – und könnte sich den Unterschied zwischen böswilligen Blackhat-Hackern und gutwilligen Whitehat-Hackern anlesen.