Nyolc év letöltendő büntetést kért az ügyészség az etikus hackernek, aki felfedezett egy biztonsági rést a Telekom rendszerében

internetek
2019 január 26., 21:23

Hiányos vádirattal, fenyegetőzéssel, az ügyészség feltűnő szakmai hozzá nem értése mellett zajlik annak az etikus hackernek a büntetőpere, aki felhasználók százezreit veszélyeztető hibát tárt fel a Magyar Telekom informatikai rendszerében - írja a TASZ.

András történetét az Index nyomán mi is megírtuk 2017-ben. Egy vidéki főiskolán tanult programozónak, és a Telekom weboldalát böngészve talált rá egy súlyos biztonsági hibára, amin keresztül simán be lehetett lépni a távközlési cég belső hálózatába. A hibáról értesítette a Telekomot, ők pedig beszélgetni hívták Budapestre. András úgy érezte, hogy a céget nem kavarja fel túlságosan a hiba, amit részletesen elmagyarázott nekik. Először személyesen, majd emailben tárgyaltak arról, hogy András esetleg dolgozzon a Telekomnak, és keressen további hibákat a rendszerben. A tárgyalások megakadtak, de a programozó tovább kutakodott, egy újabb, még súlyosabb biztonsági rést talált, amivel a teljes állami és lakossági mobil- és adatforgalomhoz hozzá lehetett férni. Ezt kiszúrták a Telekom emberei, András is látta, hogy észrevették a hibát. Ezután felhagyott a teszteléssel, azt viszont nem tudta, hogy a Telekom feljelentést tett az akciója miatt, három hét múlva pedig meg is jelentek nála a rendőrök.

Az András jogi képviseletét ellátó TASZ most azt írja, hogy bár szomorú, ha egy vállalat börtönbe juttatná azt, aki helyette is megmenti az előfizetőit, az igazi probléma az ügyben az ügyészség vállalhatatlan eljárása. 

Ezt a minősítést a következőkre alapozzák.

  • A vádiratból nem derül ki, hogy pontosan mit is követett el a vádlott, az elkövetés menetéről annyi derül ki, hogy az „pontosan meg nem határozható időben”, „az internet felhasználásával” történt. 
  • A jogvédők botrányosnak tartják, hogy még le sem folytatták a bizonyítást, de az ügyészség már olyan alkut ajánlott az etikus hackernek, hogy ha beismeri bűnösségét, akkor csak 2 év felfüggesztett börtönt kap, ha azonban nem él ezzel az ajánlattal, akkor 5 év letöltendőt fognak kérni.
  • Az ügyész nem is csinált titkot belőle, hogy a büntetőügy technikai hátteréhez nem ért. A tárgyalási jegyzőkönyv szerint például olyat is mondott, hogy „nem vagyunk informatikusok, de a médiából tudjuk, hogy ha valaki számítástechnikai eszköz és internetkapcsolat birtokában megfelelő szaktudással rendelkezik, akkor ezeket a digitális lábnyomokat, amiket hagy, azokat el is tudja tüntetni.”. 
  • A fentiekre hivatkozva a vádlott előzetes letartóztatását kérték, de ezt a bíróság elutasította.
  • Az ügyészség ezután még súlyosbította a vádat, arra hivatkozva, hogy a bűncselekményt ún. „közérdekű üzem” megzavarásával követték el, így a vádlottat már 8 évig terjedő szabadságvesztés fenyegeti. 
  • Az ügyészség azt nem vizsgálta, hogy a Telekom figyelmeztetése a súlyos hibára közérdekű bejelentésnek minősül-e. Márpedig a TASZ szerint a közérdekű bejelentőket kifejezetten védelmezi a jogszabály, és már csak ezen az alapon meg kellene szüntetni a büntetőeljárást.

A T-Systems amúgy egy másik etikus hackert is feljelentett, de a BKK-s srác ügye már a rendőrségen sem jutott túl, megszüntették ellene az eljárást.

Frissítés

A Magyar Telekom állásfoglalása az üggyel kapcsolatban:

„Ahogy minden nagyobb céget, a Magyar Telekom rendszerét is érik támadások. Nagyon komoly belső rendszerek, folyamatok biztosítják azt, hogy ezeket megelőzzük, kivédjük. Rendszereinket folyamatosan monitorozzuk, hogy szükség esetén azonnal megtehessük a szükséges intézkedéseket. Amennyiben a Magyar Telekom Csoport valamely rendszerén valaki hibát talál, és ezt a Telekomnak haladéktalanul jelzi, valamint semmilyen módon nem él vissza ezzel (pl. nem módosít, nem töröl, nem ment ki információt stb.), együttműködik a Telekom saját vizsgálatával, és nem publikálja a hibát (ezzel veszélyeztetve a rendszert), akkor a Telekom nem tesz feljelentést ellene.

Amennyiben a támadó nem jelentkezik azonnal önként, ezzel jóhiszeműségét igazolva, és az észlelt támadás átlép egy szintet, vagyis a támadás meghaladja az etikus hackelés kereteit, akkor a szolgáltató – ügyfelei, rendszerei, és a szolgáltatások folyamatos biztosítása érdekében – feljelentés megtételéről dönthet. A bejelentett vagy felderített hibákat azonnal javítjuk, és folyamatosan intézkedéseket teszünk a biztonság növelése, és ügyfeleink védelme érdekében.

A cikk által idézett konkrét esetben a Magyar Telekom ismeretlen tettes ellen tett feljelentést, ugyanis a hacker - az etikus hackelés kereteit túllépve - az első támadást követően újabb támadásokat indított, az addig megszerzett adatok segítségével további rendszerek feltörésébe kezdett. A támadás ügyfelek személyes adatait nem érintette, azok teljes biztonságban voltak és vannak. A támadása nem érintette azokat a távközlési hálózatokat sem, amelyeken az ügyfelek kommunikálnak. A hacker által feltárt hiányosságokat cégünk haladéktalanul kijavította, megszüntette.”

Kommentek

Közösségünk messze túlnyomó többségének jószándéka és minden moderációs igyekezetünk ellenére cikkeink alatt időről-időre a kollégáinkat durván sértő, bántó megjegyzések jelentek meg.
Hosszas mérlegelés és a lehetőségeink alapos vizsgálata után úgy döntöttünk, hogy a jövőben a közösségépítés más útjait támogatjuk, és a cikkek alatti kommentelés lehetőségét megszüntetjük. Közösség és Belső kör csomaggal rendelkező előfizetőinket továbbra is várjuk zárt Facebook csoportunkba, a Közértbe, ahol hozzászólhatnak a cikkeinkhez, és kérdezhetnek a szerzőinktől is.