A Telekomnak próbált segíteni az etikus hacker - 8 év letöltendővel fenyegetik

Hiányos vádirattal, fenyegetőzéssel, az ügyészség feltűnő szakmai hozzá nem értése mellett zajlik annak az etikus hackernek a büntetőpere, aki felhasználók százezreit veszélyeztető hibát tárt fel a Magyar Telekom informatikai rendszerében - írja a Társaság a Szabadságjogokért (TASZ) civil szervezet.
Szabó Zsuzsanna, 2019. január 27. vasárnap, 09:15
Fotó: Napi.hu

Az ügy előzménye, hogy egy vidéki főiskolán tanuló programozó tavaly áprilisban a Telekom weboldalát böngészve rátalált egy súlyos biztonsági hibára, amin keresztül be lehetett lépni a távközlési cég belső hálózatába.

A hibáról értesítette a Telekomot, előbbi cég pedig beszélgetni hívták a fiút Budapestre. András részletesen emlagyarázta a hibát, de a vállalat alkalmazottai részéről nem érezte úgy, hogy helyén kezelnék a problémát. A megbeszéléseken (személyesen is és emailen is) a cég arról is tárgyalt Andrással, hogy dolgozzon a Telekomnak és keressen további hibákat a rendszerben.

A tárgyalások megakadtak, de a programozó tovább kutakodott, melynek során egy újabb, még súlyosabb biztonsági rést talált, amivel a teljes állami és lakossági mobil- és adatforgalomhoz hozzá lehetett férni. Ezt azonban kiszúrták a Telekom emberei is, amit András is észrevett, így ezután felhagyott a teszteléssel. A Telekom viszont feljelentést tett az akciója miatt, három hét múlva pedig meg is jelentek nála a rendőrök - emlékeztet a TASZ.

A civil szervezet látja el András jogi képviseletét, és most azt írják, hogy az ügyészség "minősíthetetlen ügyészi munka" révén börtönbe küldené azt a fiút, aki egy olyan súlyos problémára mutatott rá, amelyen keresztül akár az összes felhasználó adatait megszerezhették volna. Az ügyészség ugyanis egy olyan alkut ajánlott Andrásnak, mely szerint ha beismeri bűnösségét, akkor csak 2 év felfüggesztett börtönt kap, ha viszont nem él ezzel a lehetőséggel, akkor 5 év letöltendőt fognak kiszabni rá. Mindezt úgy, hogy a TASZ szerint a bíróság még semmilyen bizonyítékot nem látott.

Az ügyészség az ügyben azzal érvel, hogy

nem vagyunk informatikusok, de a médiából tudjuk, hogy ha valaki számítástechnikai eszköz és internetkapcsolat birtokában megfelelő szaktudással rendelkezik, akkor ezeket a digitális lábnyomokat, amiket hagy, azokat el is tudja tüntetni.

Ezzel a TASZ szerint csak annyi a probléma, hogy az ügyésznek - ha nem ért az informatikához - kötelessége lenne szakértőt felkérnie, amit az eljárás ideje alatt eddig még nem tett meg. (A TASZ megjegyzi, hogy szerencsére ez az érvelés a bíróságon sem állta meg a helyét, ezért az előzetest el is vetették.)

Az ügyészség ezután súlyosbította a vádat, arra hivatkozva, hogy a bűncselekményt úgynevezett "közérdekű üzem" megzavarásával követték el, így a vádlottat már 8 évig terjedő szabadságvesztéssel fenyegeti. A TASZ szerint azonban semmi sem támasztja alá ezt az érvelést, sőt, a Telekom az ügyről korábban hírt adó Indexnek is cáfolta, mondván, András "támadása nem érintette azokat a távközlési hálózatokat, amelyeken az ügyfelek kommunikáltak."

Az ügyészség azt sem vizsgálta a TASZ szerint, hogy a figyelmeztetés a súlyos hibára közérdekű bejelentésnek minősül-e. Márpedig a közérdekű bejelentőket kifejezetten védelmezi a jogszabály és ezen az alapon meg is kellene szüntetni a büntetőeljárást.

A Telekom esetében nem András az egyetlen etikus hacker, akit a cég feljelentett: egy 18 éves fiút a T-Systems például azért jelentett fel, mert észrevett a BKK rendszerében egy szintén súlyos hibát. Ez az ügy azoban már a rendőrségen elakadt és megszüntették ellene az eljárást.

Ezt mondja a Telekom

A TASZ bejegyzésére a Magyar Telekom is reagált lapunknak. A vállalat a fenti üggyel kapcsolatban közölte, hogy a Magyar Telekomnál nagyon komoly belső rendszerek, folyamatok biztosítják azt, hogy a támadásokat megelőzzék, kivédjék. Továbbá kiemelik, hogy rendszereiket folyamatosan monitorozzák, hogy szükség esetén azonnal megtehessék a szükséges intézkedéseket.

Amennyiben a Magyar Telekom Csoport valamely rendszerén valaki hibát talál, és ezt a Telekomnak haladéktalanul jelzi, valamint semmilyen módon nem él vissza ezzel (például nem módosít, nem töröl, nem ment ki információt stb.), együttműködik a Telekom saját vizsgálatával, és nem publikálja a hibát (ezzel veszélyeztetve a rendszert), akkor a Telekom nem tesz feljelentést ellene.

Amennyiben a támadó nem jelentkezik azonnal önként, ezzel jóhiszeműségét igazolva, és az észlelt támadás átlép egy szintet, vagyis a támadás meghaladja az etikus hackelés kereteit, akkor a szolgáltató - ügyfelei, rendszerei, és a szolgáltatások folyamatos biztosítása érdekében - feljelentés megtételéről dönthet - hangsúlyozza a Telekom, hozzátéve, hogy a bejelentett vagy felderített hibákat azonnal javítják, és folyamatosan intézkedéseket tesznek a biztonság növelése, és az ügyfeleik védelme érdekében.

A vállalat a TASZ által említett esetben ismeretlen tettes ellen tett fejelentést, mert a cég megítélése szerint

a hacker - az etikus hackelés kereteit túllépve - az első támadást követően újabb támadásokat indított, az addig megszerzett adatok segítségével további rendszerek feltörésébe kezdett.

A Telekom továbbá hangsúlyozza: a támadás ügyfelek személyes adatait nem érintette, azok teljes biztonságban voltak és vannak. A támadása nem érintette azokat a távközlési hálózatokat sem, amelyeken az ügyfelek kommunikálnak. A hacker által feltárt hiányosságokat a cég haladéktalanul kijavította, megszüntette.

HOZZÁSZÓLÁSOK
 

europeer, 2019.01.28 14:43

Betört egy helyre, ahová semmi joga nem volt bemenni.
Jó, hogy nem bevezetjük az etikus betörő jogi fogalmat, hogy bárki betörhessen az otthonokba, azt kiabálva, hogy megmutatja a ház gyenge pontját.
Aztán minden nap betör valami etikus betörő nem?
Börtönbe vele!
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html

nandras51, 2019.01.28 14:34

Nem tanultak a BKK esetéből. Ezek sehol semmiből nem tanulnak. Megérdemlik majdani sorsukat. Pl. amikor milliárdos kártérítéseket fizethetnek a vevőiknek...
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html

terabit, 2019.01.27 17:49

@Dezsike: bűncselekmény az, amire a BTK azt mondja. Mint pl a BTK 423

"423. § * (1) Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő"

+ A módozatai, nem másolom be az egészet.
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html

Dezsike, 2019.01.27 13:37

@terabit: Azért nem árt tisztában lenni a bűncselekmény definíciójával. Olyan cselekmény, ami veszélyes a társadalomra. Ez az eset veszélyes volt? Nem. A BKK ügy veszélyes volt? Nem. A kicsit lehet szivatni, a nagyhalak viszont törvényesen lophatják a kicsik pénzét úgy, hogy olyan üzletszabályzatot írnak ami a kicsinek kedvezőtlen (pl. gyorsan lejáró helyközi buszjegyek, büntetlenül késhetnek, engem bezzeg megbüntetnek amikor a bérletpénztárhoz utazok bérletet venni), vagy a megkötött szerződést egyoldalúan módosítják hülyeségekre hivatkozva, míg én nem mondhatom, hogy mostantól fele havi díjat fizetek ugyan azért, mert megváltozott az anyagi helyzetem. Egyszer már a nagyokra is ráférne egy megregulázás.
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html

terabit, 2019.01.27 12:29

A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html