Nemcsak az a fiatal, magát etikus hekkernek tartó férfi járt pórul, aki a Budapesti Közlekedési Központ (BKK) e-jegyrendszerét tesztelve biztonsági rést talált. A rendszert amúgy a T-Systems fejlesztette ki, és ez a cég volt az is, amelyik feljelentést tett a rendőrségen, ami után a férfit bevitték a rendőrségre.
De hogyan jutott erre a sorsra az Index cikkében Andrásként emlegetett férfi? (Ez nem az igazi neve.) András programozónak tanul egy főiskolán, de érdeklődik az informatikai biztonság iránt. Telekom-ügyfél amúgy.
Áprilisban András nem túl bonyolult módon, a nyilvános weboldalon, sima, szöveges formában kint hagyott adatok segítségével be tudott jutni a Telekom belső hálózatába.
Ezt jelezte is a Telekomnak. A cég el is hívta Andrást egy beszélgetésre a cég budapesti központjába, András a saját költségén fel is utazott, el is mondta, meg is mutatta a Telekom és a T-Systems ott levő embereinek, hogy mit fedezett fel. Elmesélése szerint beszélgetőpartnerei firtatták a motivációját, hogy miért törte fel a rendszert, és hogy miért jelezte ezt feléjük. Állítása szerint semmi különösebb motivációja nem volt, és felvetette, hogy szívesen segít a cégnek a későbbiekben is a hibák feltárásában. Szóba került, hogy esetleg napidíjért cserébe vagy munkaviszonyban folytathatná ezt a fajta munkát, de aztán a későbbi levélváltások után nem lett ebből semmi, a cég annyit jelzett neki, hogy sokallják az általa kért napidíjat – de nem azt írták, hogy vége az együttműködésnek, sem azt, hogy várják az alternatív javaslatát, kérését. A Telekom azt írta az Indexnek, hogy a párbeszéd megszakadt közöttük.
Andrást azonban nem hagyta nyugodni a gondolat, hogy ennyire sérülékeny a rendszer, és folytatta a tesztelést. És sokkal súlyosabb hibára bukkant. A lap azt írja erről:
Próbálkozását a Telekom szakemberei észrevették, és mint később megtudta, a cég ismeretlen tettes ellen feljelentést tett aznap. Ő, állítja, abbahagyta a tesztelést. Ám három hét múlva egyik reggel kopogtattak nála a rendőrök. Házkutatás, kihallgatás. A kihallgatás végén közölték vele, hogy információs rendszer vagy adat megsértésének bűntettével vádolják. Ezt három évig történő szabadságvesztéssel is lehet büntetni. Bár Andrást kiengedték, azóta is zajlik a nyomozás.
András azt mondta a portálnak, hogy a kíváncsiság és a segítő szándék vezette, a Telekommal folytatott személyes találkozó utáni tesztelés eredményét is szerette volna átadni a cég biztonsági embereinek. Nem tartja magát hekkernek. Ügyvédje elmondta, hogy András
valóban szándékos cselekményt követett el azzal, amikor bejutott és adatokat módosított a Telekom hálózatában. Ezt azonban nem használta fel saját javára, nem értesítette a konkurenciát, nem okozott kárt, hanem jelezte a hibát a szolgáltatónak, mondta az ügyvéd.
A Magyar Telekom az Index kérdésére azt írta: az ügyfelek személyes adatait András tevékenysége nem érintette, a Magyar Telekom vezetékes- és mobil előfizetőinek személyes adatai teljes biztonságban voltak és vannak. Támadása nem érintette azokat a távközlési hálózatokat, amelyeken az ügyfelek kommunikáltak. Az általa feltárt hiányosságokat pedig a cég haladéktalanul kijavította, megszüntette.
Amennyiben a támadó nem jelentkezik azonnal önként, ezzel jóhiszeműségét igazolva, és az észlelt támadás átlép egy szintet, akkor belső eljárásrendünk alapján ismeretlen tettes ellen feljelentést teszünk, tesszük ezt rendszereink és a szolgáltatások folyamatos biztosítása érdekében
– írta a cég.
