Hiányos vádirattal, fenyegetőzéssel, az ügyészség feltűnő szakmai hozzá nem értése mellett zajlik annak az etikus hackernek a büntetőpere, aki felhasználók százezreit veszélyeztető hibát tárt fel a Magyar Telekom informatikai rendszerében – írta meg a TASZ blogján.
Az Index cikke alapján korábban mi is beszámoltunk arról a huszonéves, programozónak tanuló fiatalról, aki a Telekom egy nyilvános, interneten elérhető felhasználói útmutatójának segítségével belépett a vállalat belső informatikai rendszerébe. A fiatal azonnal jelezte a hibát,vidéki otthonából saját költségén a cég budapesti központjába is elutazott, hogy személyesen adhassa át a biztonsági kockázatról készített elemzését a cég kiberbiztonsági szakembereinek.
A találkozón tapasztaltak azonban nem nyugtatták meg afelől, hogy a hibát tényleg megszüntetik, ezért később ismét belépett a rendszerbe, hogy tesztelje azt. Mint kiderült, semmit sem javítottak ki, őt viszont ekkor már feljelentették.
A TASZ szerint szomorú, hogy egy vállalat börtönbe juttatná azt, aki helyette is megmenti az előfizetőit, az igazi probléma az ügyben az ügyészség vállalhatatlan eljárása.
Mindezt arra alapozzák, hogy:
- Az ügyészség olyan vádirat alapján kér börtönt a férfira, amiből nem derül ki, hogy pontosan mit is követett el. Szerintük meg van nevezve egy Btk.-paragrafus, éppen csak az nincs körülírva, hogy mi az elkövetés helye, ideje, eszközei, módja, a bizonyítékok és a vád kapcsolata, és általában semmi, amit a törvényes vádhoz szükséges lenne részletesen bemutatni.
- A TASZ szerint botrányos, hogy még le sem folytatták a bizonyítást, de az ügyészség már olyan alkut ajánlott az etikus hackernek, hogy ha beismeri bűnösségét, akkor csak 2 év felfüggesztett börtönt kap, ha azonban nem él ezzel az ajánlattal, akkor 5 év letöltendőt fognak kérni.
- Az ügyész nem is titkolta, hogy a büntetőügy technikai hátteréhez nem ért. A tárgyalási jegyzőkönyv szerint például olyat is mondott, hogy „nem vagyunk informatikusok, de a médiából tudjuk, hogy ha valaki számítástechnikai eszköz és internetkapcsolat birtokában megfelelő szaktudással rendelkezik, akkor ezeket a digitális lábnyomokat, amiket hagy, azokat el is tudja tüntetni”.
- A fentiekre hivatkozva a vádlott előzetes letartóztatását kérték, de ezt a bíróság elutasította.
- Az ügyészség ezután még súlyosbította a vádat, arra hivatkozva, hogy a bűncselekményt ún. „közérdekű üzem” megzavarásával követték el, így a vádlottat már 8 évig terjedő szabadságvesztés fenyegeti.
- Az ügyészség azt nem vizsgálta, hogy a Telekom figyelmeztetése a súlyos hibára közérdekű bejelentésnek minősül-e.
Frissítés: A Magyar Telekom reakciója
Szemlénk megjelenése után a Magyar Telekom levélben közölte álláspontját.
Ahogy minden nagyobb céget, a Magyar Telekom rendszerét is érik támadások. Nagyon komoly belső rendszerek, folyamatok biztosítják azt, hogy ezeket megelőzzük, kivédjük. Rendszereinket folyamatosan monitorozzuk, hogy szükség esetén azonnal megtehessük a szükséges intézkedéseket. Amennyiben a Magyar Telekom Csoport valamely rendszerén valaki hibát talál, és ezt a Telekomnak haladéktalanul jelzi, valamint semmilyen módon nem él vissza ezzel (pl. nem módosít, nem töröl, nem ment ki információt stb.), együttműködik a Telekom saját vizsgálatával, és nem publikálja a hibát (ezzel veszélyeztetve a rendszert), akkor a Telekom nem tesz feljelentést ellene.
Amennyiben a támadó nem jelentkezik azonnal önként, ezzel jóhiszeműségét igazolva, és az észlelt támadás átlép egy szintet, vagyis a támadás meghaladja az etikus hackelés kereteit, akkor a szolgáltató – ügyfelei, rendszerei, és a szolgáltatások folyamatos biztosítása érdekében – feljelentés megtételéről dönthet. A bejelentett vagy felderített hibákat azonnal javítjuk, és folyamatosan intézkedéseket teszünk a biztonság növelése, és ügyfeleink védelme érdekében.
A cikk által idézett konkrét esetben a Magyar Telekom ismeretlen tettes ellen tett feljelentést, ugyanis a hacker – az etikus hackelés kereteit túllépve – az első támadást követően újabb támadásokat indított, az addig megszerzett adatok segítségével további rendszerek feltörésébe kezdett. A támadás ügyfelek személyes adatait nem érintette, azok teljes biztonságban voltak és vannak. A támadása nem érintette azokat a távközlési hálózatokat sem, amelyeken az ügyfelek kommunikálnak. A hacker által feltárt hiányosságokat cégünk haladéktalanul kijavította, megszüntette.
Fotó: Thinkstock