A biztonsági résen keresztül akár az összes felhasználó személyes adatait megszerezhették volna. A fiatal informatikus jelezte a hibát az illetékeseknek, akik először az alkalmazásáról tárgyaltak vele, majd inkább feljelentették. - írja a TASZ

A TASZ védence huszonéves, programozónak tanuló fiatal. A Telekom egy nyilvános, interneten elérhető felhasználói útmutatójában figyelt fel egy DNS-kiszolgálóhoz tartozó szokatlan IP-címre. Miután megvizsgálta a címet, kiderült, hogy azon keresztül lehetséges rendszergazdai jelszóhoz jutni, majd belépni a vállalat belső informatikai rendszerébe. Ügyfelünk azonnal jelezte a hibát, sőt, vidéki otthonából saját költségén a cég budapesti központjába is elutazott, hogy személyesen adhassa át a biztonsági kockázatról készített elemzését a cég kiberbiztonsági szakembereinek.

A találkozón tapasztaltak azonban nem nyugtatták meg afelől, hogy a hibát tényleg megszüntetik, ezért később ismét belépett a rendszerbe, hogy tesztelje azt. Mint kiderült, semmit sem javítottak ki, ügyfelünket viszont ekkor már feljelentették, ami nem éppen elegáns húzás egy olyan multicégtől, amely előfizetői százezreinek adatait sodorta veszélybe azzal, hogy súlyos biztonsági rés nyomát felejtette egy egyszerű használati útmutatóban.

Minősíthetetlen színvonalú ügyészi munka

De bármilyen szomorú is, hogy egy vállalat börtönbe juttatná azt, aki helyette is megmenti az előfizetőit, az igazi probléma az ügyben az ügyészség vállalhatatlan eljárása. A jelek szerint ugyanis nem csak hogy nem értenek, de  nem is akarnak érteni annak a pernek a tárgyához, amelyben éppen vádat emeltek.

Mire alapozzuk ezt? Például arra, hogy az ügyészség olyan vádirat alapján kér börtönt a védencünkre, amiből nem derül ki, hogy pontosan mit is követett el. Persze meg van nevezve egy Btk.-paragrafus, éppen csak az nincs körülírva, hogy mi az elkövetés helye, ideje, eszközei, módja, a bizonyítékok és a vád kapcsolata, és általában semmi, amit a törvényes vádhoz szükséges lenne részletesen bemutatni. Ehelyett két bekezdésben, nagy vonalakban letudják a tényállás leírását, amiben az elkövetés menetéről annyi derül ki, hogy az „pontosan meg nem határozható időben”, „az internet felhasználásával” történt. A jogi indoklás még ennél is rövidebb: mindössze két mondat.

Botrányos alkuajánlat

Különösen botrányos az az alku, amit az ügyészség az ügyfelünknek ajánlott. Eszerint, ha beismeri bűnösségét, akkor csak 2 év felfüggesztett börtönt kap, ha azonban nem él ezzel az ajánlattal, akkor 5 év letöltendőt fognak kérni. Mindezt akkor, amikor még semmilyen bizonyítékot nem látott a bíróság. Hogyan lehet ennyire biztos az ügyész az ügy jogi megítélésében, amíg még le se folytatták a bizonyítást?

A legmeglepőbb az ügyész érvelése az előzetes letartóztatás mellett, amelyet szó szerint idéznénk a tárgyalási jegyzőkönyvből: „nem vagyunk informatikusok, de a médiából tudjuk, hogy ha valaki számítástechnikai eszköz és internetkapcsolat birtokában megfelelő szaktudással rendelkezik, akkor ezeket a digitális lábnyomokat, amiket hagy, azokat el is tudja tüntetni.”. Persze egy ügyésznek nem kell járatosnak lennie az informatikában, de ha a büntetőügy technikai hátteréhez bevallottan nem ért, akkor kötelessége lenne szakértőt felkérni, amit az eljárás teljes időtartama, vagyis több mint másfél év alatt nem tett meg. Szerencsére ez a hanyagul megalapozott érvelés a bíróságot sem győzte meg, így elvetette az előzetest.

Alaptalanul súlyosbították a vádat

Az pedig már egyenesen elszomorító, hogy az ügyészség ilyen informatikai szaktudás mellett, érdemi alátámasztás nélkül még súlyosbította is a vádat. Arra hivatkoznak, hogy a bűncselekményt ún. „közérdekű üzem” megzavarásával követték el, így a védencünket már 8 évig terjedő szabadságvesztés fenyegeti. A közérdekű üzem elvileg olyan kiemelt jelentőségű infrastruktúrát jelent, aminek a megtámadása teljes – kisebb vagy nagyobb – közösségeket érinthet. Csakhogy semmi sem támasztja alá, hogy az a szerver, amelyre az ügyfelünk belépett, ilyen jelentőségű lett volna. Valójában maga a Telekom cáfolja az Indexnek adott nyilatkozatában, hogy a behatolás megzavarta volna a működésüket: „az ügyfelek személyes adatait [védencünk] tevékenysége nem érintette, a Magyar Telekom vezetékes és mobil-előfizetőinek személyes adatai teljes biztonságban voltak és vannak. Támadása nem érintette azokat a távközlési hálózatokat, amelyeken az ügyfelek kommunikáltak.”

Sajnálattal tapasztaltuk, a fentiek ismeretében azonban nem meglepő, hogy az ügyészség azt sem vizsgálta, hogy a Telekom figyelmeztetése a súlyos hibára közérdekű bejelentésnek minősül-e. Pedig  a közérdekű bejelentőket kifejezetten védelmezi a jogszabály – annyira, hogy ezen az alapon meg kellene szüntetni a büntetőeljárást, az ügyészségnek pedig a mentő körülmények feltárása is törvényi kötelessége lenne.

Az etikus hackelés nem jogellenes!

Azok a hackerek, akik hibát találnak egyes – elsősorban  állami – intézmények működésében, és ezt jelzik az illetékeseknek, szerintünk nemhogy nem követnek el büntetendő cselekményt, hanem kifejezetten hasznos, amit csinálnak. Ezt hívjuk etikus hackelésnek, az „elkövetőjét” pedig etikus hackernek. Szeretnénk elérni, hogy végleg megszűnjön az a káros gyakorlat, hogy az etikus hackerek ellen büntetőeljárásokat folytatnak le, mert kifejezetten hasznosak a társadalomnak, és nem jelentenek semmiféle veszélyt. Régóta küzdünk azért, hogy az etikus hackerek is élvezhessék a közérdekű bejelentőknek járó védelmet. Ezért is védtük többek között azt a gimnazistát, aki a BKK (egyébként pont a Telekom által működtetett) internetes rendszerében talált hibákat, és akit együttműködése ellenére a Telekom szintén feljelentett.

Remport Ádám / Társaság a Szabadságjogokért

A TASZ készített egy útmutatót az etikus hackeléshez >>

Frissítés (2019. január 27. 08:27)

Magyar Telekom állásfoglalás 

Ahogy minden nagyobb céget, a Magyar Telekom rendszerét is érik támadások. Nagyon komoly belső rendszerek, folyamatok biztosítják azt, hogy ezeket megelőzzük, kivédjük. Rendszereinket folyamatosan monitorozzuk, hogy szükség esetén azonnal megtehessük a szükséges intézkedéseket. Amennyiben a Magyar Telekom Csoport valamely rendszerén valaki hibát talál, és ezt a Telekomnak haladéktalanul jelzi, valamint  semmilyen módon nem él vissza ezzel (pl. nem módosít, nem töröl, nem ment ki információt stb.), együttműködik a Telekom saját vizsgálatával, és nem publikálja a hibát (ezzel veszélyeztetve a rendszert), akkor a Telekom nem tesz feljelentést ellene.

Amennyiben a támadó nem jelentkezik azonnal önként, ezzel jóhiszeműségét igazolva, és az észlelt támadás átlép egy szintet, vagyis a támadás meghaladja az etikus hackelés kereteit, akkor a szolgáltató – ügyfelei, rendszerei, és a szolgáltatások folyamatos biztosítása érdekében – feljelentés megtételéről dönthet. A bejelentett vagy felderített hibákat azonnal javítjuk, és folyamatosan intézkedéseket teszünk a biztonság növelése, és ügyfeleink védelme érdekében.

A cikk által idézett konkrét esetben a Magyar Telekom ismeretlen tettes ellen tett feljelentést, ugyanis a hacker - az etikus hackelés kereteit túllépve - az első támadást követően újabb támadásokat indított, az addig megszerzett adatok segítségével további rendszerek feltörésébe kezdett. A támadás ügyfelek személyes adatait nem érintette, azok teljes biztonságban voltak és vannak. A támadása nem érintette azokat a távközlési hálózatokat sem, amelyeken az ügyfelek kommunikálnak. A hacker által feltárt hiányosságokat cégünk haladéktalanul kijavította, megszüntette.