Diversas grandes empresas de tecnologia oferecem recompensas para quem encontra bugs de software em seus produtos. A BKK, autoridade de transporte público de Budapeste, adotou outra prática: mandou prender o jovem de 18 anos que lhe avisou de uma falha.

A BKK lançou este mês um sistema para comprar passagens de transporte público através do celular. Em vez de um app, eles desenvolveram um site às pressas, a tempo do Campeonato Mundial de Esportes Aquáticos, que ocorre em Budapeste.

O site, é claro, estava repleto de falhas. O desenvolvedor Laszlo Marai lista algumas delas: quem acessava shop.bkk.hu se deparava com uma mensagem de erro porque não era redirecionado para o endereço HTTPS; o sistema armazenava cada senha em texto puro, enviando-a para o usuário caso ele esquecesse; e a senha de administrador era “adminadmin”.

Além disso, como descobriu um jovem de 18 anos — que prefere não ser identificado — o site permitia definir o preço das passagens. Bastava pressionar F12 no navegador para abrir as ferramentas de desenvolvedor, modificar o código-fonte e alterar o valor.

O jovem demonstrou que era possível, por exemplo, comprar uma passagem mensal de 9459 forints (cerca de R$ 115) por meros 50 forints (R$ 0,60). Como não havia um sistema de validação no servidor, a BKK aceitava a operação e emitia o bilhete.

Ele enviou um e-mail em 14 de julho para a BKK avisando sobre a falha. A empresa respondeu dizendo apenas que a passagem foi invalidada; e contatou a polícia para registrar uma queixa, acusando o jovem de hackear seus sistemas. Em 21 de julho, ele foi detido durante a madrugada, mesmo morando fora de Budapeste e não tendo utilizado passagens fraudulentas. Algumas horas depois, ele foi solto.

O caso chamou atenção da imprensa local, e a BKK entrou na defensiva, dizendo que sofreu uma série de ataques de hackers, que todo sistema tem suas falhas, e que o jovem enviou o e-mail para o endereço errado — isso foi desmentido por uma captura de tela.

A BKK disse também que a culpa era da T-Systems Hungary, subsidiária da alemã Deutsche Telekom, que recebe US$ 1 milhão por ano pela manutenção de seus sistemas. A T-Systems promete criar um programa de “bug bounty” no futuro próximo.

O jovem, que se formou no ensino médio e vai começar a faculdade, agora só quer ficar em paz: “enquanto o procedimento policial não for encerrado (ou seja, ainda falta uma audiência judicial), não pretendo dar comentários, entrevistas, nem aparecer na imprensa… eu gostaria de voltar para minha própria vida e descansar”.

Com informações: Bleeping Computer, TechCrunch.