Belföld

8 év börtönt kaphat az etikus hacker, aki szólt a Magyar Telekomnak egy biztonsági résről

Hiányos vádirattal, fenyegetőzéssel, az ügyészség feltűnő szakmai hozzá nem értése mellett zajlik annak az etikus hackernek a büntetőpere, aki felhasználók százezreit veszélyeztető hibát tárt fel a Magyar Telekom informatikai rendszerében – írta meg a TASZ blogján.

Az Index cikke alapján korábban mi is beszámoltunk arról a huszonéves, programozónak tanuló fiatalról, aki a  Telekom egy nyilvános, interneten elérhető felhasználói útmutatójának segítségével belépett a vállalat belső informatikai rendszerébe. A fiatal azonnal jelezte a hibát,vidéki otthonából saját költségén a cég budapesti központjába is elutazott, hogy személyesen adhassa át a biztonsági kockázatról készített elemzését a cég kiberbiztonsági szakembereinek.

A találkozón tapasztaltak azonban nem nyugtatták meg afelől, hogy a hibát tényleg megszüntetik, ezért később ismét belépett a rendszerbe, hogy tesztelje azt. Mint kiderült, semmit sem javítottak ki, őt viszont ekkor már feljelentették.

Megszólalt a BKK által feljelentett etikus hekker
Egy férfi elérte, hogy 50 forintért vegyen bérletet, amivel sosem utazott, ellenben egyből szólt a BKK-nak, hogy nem jó az app. Feljelentették.

A TASZ szerint  szomorú, hogy egy vállalat börtönbe juttatná azt, aki helyette is megmenti az előfizetőit, az igazi probléma az ügyben az ügyészség vállalhatatlan eljárása.

Mindezt arra alapozzák, hogy:

  • Az ügyészség olyan vádirat alapján kér börtönt a férfira, amiből nem derül ki, hogy pontosan mit is követett el. Szerintük meg van nevezve egy Btk.-paragrafus, éppen csak az nincs körülírva, hogy mi az elkövetés helye, ideje, eszközei, módja, a bizonyítékok és a vád kapcsolata, és általában semmi, amit a törvényes vádhoz szükséges lenne részletesen bemutatni.
  • A TASZ szerint botrányos, hogy még le sem folytatták a bizonyítást, de az ügyészség már olyan alkut ajánlott az etikus hackernek, hogy ha beismeri bűnösségét, akkor csak 2 év felfüggesztett börtönt kap, ha azonban nem él ezzel az ajánlattal, akkor 5 év letöltendőt fognak kérni.
  • Az ügyész nem is titkolta, hogy a büntetőügy technikai hátteréhez nem ért. A tárgyalási jegyzőkönyv szerint például olyat is mondott, hogy „nem vagyunk informatikusok, de a médiából tudjuk, hogy ha valaki számítástechnikai eszköz és internetkapcsolat birtokában megfelelő szaktudással rendelkezik, akkor ezeket a digitális lábnyomokat, amiket hagy, azokat el is tudja tüntetni”.
  • A fentiekre hivatkozva a vádlott előzetes letartóztatását kérték, de ezt a bíróság elutasította.
  • Az ügyészség ezután még súlyosbította a vádat, arra hivatkozva, hogy a bűncselekményt ún. „közérdekű üzem” megzavarásával követték el, így a vádlottat már 8 évig terjedő szabadságvesztés fenyegeti.
  • Az ügyészség azt nem vizsgálta, hogy a Telekom figyelmeztetése a súlyos hibára közérdekű bejelentésnek minősül-e.

Frissítés: A Magyar Telekom reakciója

Szemlénk megjelenése után a Magyar Telekom levélben közölte álláspontját.

Ahogy minden nagyobb céget, a Magyar Telekom rendszerét is érik támadások. Nagyon komoly belső rendszerek, folyamatok biztosítják azt, hogy ezeket megelőzzük, kivédjük. Rendszereinket folyamatosan monitorozzuk, hogy szükség esetén azonnal megtehessük a szükséges intézkedéseket. Amennyiben a Magyar Telekom Csoport valamely rendszerén valaki hibát talál, és ezt a Telekomnak haladéktalanul jelzi, valamint  semmilyen módon nem él vissza ezzel (pl. nem módosít, nem töröl, nem ment ki információt stb.), együttműködik a Telekom saját vizsgálatával, és nem publikálja a hibát (ezzel veszélyeztetve a rendszert), akkor a Telekom nem tesz feljelentést ellene.

Amennyiben a támadó nem jelentkezik azonnal önként, ezzel jóhiszeműségét igazolva, és az észlelt támadás átlép egy szintet, vagyis a támadás meghaladja az etikus hackelés kereteit, akkor a szolgáltató – ügyfelei, rendszerei, és a szolgáltatások folyamatos biztosítása érdekében – feljelentés megtételéről dönthet. A bejelentett vagy felderített hibákat azonnal javítjuk, és folyamatosan intézkedéseket teszünk a biztonság növelése, és ügyfeleink védelme érdekében.

A cikk által idézett konkrét esetben a Magyar Telekom ismeretlen tettes ellen tett feljelentést, ugyanis a hacker – az etikus hackelés kereteit túllépve – az első támadást követően újabb támadásokat indított, az addig megszerzett adatok segítségével további rendszerek feltörésébe kezdett. A támadás ügyfelek személyes adatait nem érintette, azok teljes biztonságban voltak és vannak. A támadása nem érintette azokat a távközlési hálózatokat sem, amelyeken az ügyfelek kommunikálnak. A hacker által feltárt hiányosságokat cégünk haladéktalanul kijavította, megszüntette.

Fotó: Thinkstock

Ajánlott videó

Olvasói sztorik