A BKK vezérigazgatója hétfő reggel a Rádió 1 Balázsék című műsorában arról beszélt, hogy a BKK online jegyrendszerét egy html-kód átírásával meghekkelő 18 éves fiú rossz e-mail címre küldte el a hibaüzenetét, ezért esélyük sem volt felvenni vele a kapcsolatot. Dabóczi Kálmán közölte, szerinte a fiú nem jóhiszeműen járt el, mert egy automatikusan generált e-mail címre és késve küldte csak el az észrevételeit, miközben az Indexet már tájékoztatta a biztonsági hibáról.

A fiú, aki azóta elindította az Etikus bűnöző Facebook-oldalt, most közzétett egy screenshotot a korábban küldött leveléről, amelyben jelezte a hibát a BKK-nak.

A screenhoton az látszik, hogy a levelet Dabóczi Kálmán szavaival ellentétben nem csak az automatikusan generált mailcímre küldte el, hanem továbbította a BKK-vezér által is említett bkk@bkk.hu címre ugyanaznap, ráadásul még nem sokkal délután 3 után. Dabóczi arról beszélt, hogy ők csak órákkal később, sőt, az Index cikkének megjelenése után kaptak levelet a fiútól, valamivel 6 óra után.

A kiposztolt levélben a fiú tájékoztatja a BKK-t arról, hogy biztonsági rést talált a weboldalukon, mert a kosárba rakáskor a termék árának átírásával (POST requestben) annyiért tud bérletet venni, amennyiért csak akar, így tudott 50 forintért havi bérletet venni. A levélben az is benne van, hogy jóhiszeműen járt el:

Nem használtam fel a bérletet, célom világos és jó, nem követtem el bűncselekményt, mivel egyből jelentettem

- áll a levélben.