E-Ticket-Debakel: Budapester Öffis ernten Shitstorm

Anlässlich der Schwimm-Weltmeisterschaft sollte das öffentliche Verkehrsnetzwerk von Budapest ein neues E-Ticketing-System erhalten. Betreiber BKK ging dafür eine Partnerschaft mit T-Systems ein und steckte mehrere Millionen Euro in das Projekt. Der Start des E-Ticket-Systems per mobiler Webseite kurz vor Beginn der Schwimm-WM scheint allerdings überhastet gewesen zu sein. Das System weist zahlreiche Bedienungsfehler und Sicherheitslücken auf.

Anderen Preis eintragen

Eine davon wurde von einem 18-jährigen Schulabgänger entdeckt, wie vom Blogger Laszlo Marai berichtet wird. In der Entwickleransicht seines Web-Browsers verpasste er seinem E-Ticket einen neuen Preis. Statt 9459 Forint (30 Euro) bezahlte er 50 Forint (16 Eurocent) für ein Monatsticket und kam damit durch. Diesen Validierungsfehler teilte der Finder dem Öffi-Betreiber BKK per E-Mail mit. Daraufhin erhielt er einen Hausbesuch durch die Polizei und wurde verhaftet. BKK prahlte damit, einen "Hacker" erwischt zu haben. Nach einem Tag wurde er wieder auf freien Fuß gesetzt.

Der Fall wurde publik, BKK und T-Systems ernten nun einen massiven Shitstorm. Alleine auf der BKK-Facebook-Seite wurden 45.000 Ein-Sterne-Bewertungen vergeben. Auch für T-Systems hagelt es massenweise schlechte Beurteilungen.

Reihe weiterer Fehler

Neben dem E-Ticketing-Fehler, der von dem 18-Jährigen entdeckt wurde, tauchten eine Reihe weiterer Fehler auf. Wer Passwörter vergessen hat, bekommt sie als Klartext per E-Mail zugeschickt. Die automatische Umleitung der http-URL auf die https-Seite des E-Ticket-Dienstes funktionierte nicht. Außerdem fand jemand heraus, dass das Administrator-Passwort für das System auf "adminadmin" eingestellt war. Tickets konnten kopiert werden, die Kontrollore waren nicht ausreichend mit Geräten ausgestattet, die QR-Codes lesen konnten etc. Wie Bleeping Computer berichtet, wird BKK massiv für die kostspielige Entwicklung und Wartung des fehlerhaften E-Ticket-Systems kritisiert.