Anlässlich der Schwimm-Weltmeisterschaft sollte das öffentliche Verkehrsnetzwerk von Budapest ein neues E-Ticketing-System erhalten. Betreiber BKK ging dafür eine Partnerschaft mit T-Systems ein und steckte mehrere Millionen Euro in das Projekt. Der Start des E-Ticket-Systems per mobiler Website kurz vor Beginn der Schwimm-WM scheint allerdings überhastet gewesen zu sein. Das System weist zahlreiche Bedienungsfehler und Sicherheitslücken auf.
Schwerer Fehler im System
Eine davon wurde von einem 18-jährigen Schulabgänger entdeckt, wie der Blogger Laszlo Marai berichtet. In der Entwickleransicht seines Web-Browsers verpasste er seinem E-Ticket einen neuen Preis. Statt 9.459 Forint (30 Euro) bezahlte er 50 Forint (16 Cent) für ein Monatsticket und kam damit durch. Diesen Validierungsfehler teilte der Finder dem BKK per E-Mail mit. Daraufhin erhielt er einen Hausbesuch durch die Polizei und wurde verhaftet. BKK prahlte damit, einen „Hacker“ erwischt zu haben. Nach einem Tag wurde er wieder auf freien Fuß gesetzt.
Der Fall wurde publik, BKK und T-Systems ernten nun einen massiven Shitstorm. Alleine auf der BKK-Facebook-Seite wurden 45.000 Ein-Sterne-Bewertungen vergeben. Auch für T-Systems hagelt es massenweise schlechte Beurteilungen.
Unausgereiftes System und peinliche Fehler
Neben dem E-Ticketing-Fehler, der von dem 18-Jährigen entdeckt wurde, tauchten eine Reihe weiterer Fehler auf. Wer etwa Passwörter vergessen hat, bekommt sie als Klartext per E-Mail zugeschickt. Die automatische Umleitung der http-URL auf die https-Seite des E-Ticket-Dienstes funktionierte nicht. Außerdem fand jemand heraus, dass das Administrator-Passwort für das System auf „adminadmin“ eingestellt war. Tickets konnten kopiert werden, die Kontrolleure waren nicht ausreichend mit Geräten ausgestattet, die QR-Codes lesen konnten und so weiter. Wie Bleeping Computer berichtet, wird BKK massiv für die kostspielige Entwicklung und Wartung des fehlerhaften E-Ticket-Systems kritisiert.