Még 2017-ben indítottak eljárást egy fiatal programozó, András ellen, aki a Telekom online rendszerében talált két súlyos biztonsági hibát, amit jelzett is a cégnek - írja az Ugytudjuk.hu. Az informatikus és a cég egyeztettek is a hiba kijavításáról, sőt, még az is felmerült, hogy alkalmaznák.
A férfi egyébként hatalmas hibára bukkant: a teljes állami és lakossági mobil- és adatforgalomhoz hozzá lehetett férni és a Telekom belső hálózatában lehetett kutakodni - írja a portál.
A fordulat azonban nem váratott magára sokáig: egy átláthatatlan döntés értelmében mégis feljelentették azt a férfit, amely minden előfizetőjének adatát megmentette. Ellene az ügyészség indított eljárást - derül ki a férfi védelmét ellátó Társaság a Szabadságjogokért közleményéből.
A TASZ szerint noha a András szaknyelven "etikus hekkernek" számít és a hibát bejelentette, azaz közérdekű bejelentőnek számítana, mégis súlyos büntetést akarnak kivetni rá. Az ügyészség nyolc év szabadságvesztést kért, mondván "közérdekű üzemet zavart meg".
Még be is ismerik, hogy fogalmuk sincs a témáról
Az ügyészi vádirat ráadásul lényegében elismeri, hogy nem értenek a férfi által feltárt hibákhoz. Azt sem tudták leírni, hogy pontosan mi volt a bűncselekmény, az mikor történt, csak azt, hogy "az internet felhasználásával" történt. A TASZ szerint az is nonszensz, hogy még a bizonyítási eljárást sem folytatták le - itt kellene ugyebár részletesen előadni bizonyítékokkal, amiről fogalma sincs a vádirat szerint az ügyészségnek -, mégis felajánlottak egy alkut, hogy ha a férfi elismeri tettét, akkor csak 2 év felfüggesztett börtönt kérnek a bírónál büntetésül.
Mégsem volt annyira etikus?
Cikkünk megjelenését követően a Magyar Telekom is reagált. Véleményük szerint a hacker - az etikus hackelés kereteit túllépve - az első sérülékenység felfedezése után nem jelezte a hibát azonnal, újabb támadásokat indított, az addig megszerzett adatok segítségével további rendszerek feltörésébe kezdett.
A cég közleményét változtatás nélkül közöljük.
"Ahogy minden nagyobb céget, a Magyar Telekom rendszerét is érik támadások. Nagyon komoly belső rendszerek, folyamatok biztosítják azt, hogy ezeket megelőzzük, kivédjük. Rendszereinket folyamatosan monitorozzuk, hogy szükség esetén azonnal megtehessük a szükséges intézkedéseket. Amennyiben a Magyar Telekom Csoport valamely rendszerén valaki hibát talál, és ezt a Telekomnak haladéktalanul jelzi, valamint semmilyen módon nem él vissza ezzel (pl. nem módosít, nem töröl, nem ment ki információt stb.), együttműködik a Telekom saját vizsgálatával, és nem publikálja a hibát (ezzel veszélyeztetve a rendszert), akkor a Telekom nem tesz feljelentést ellene.
Amennyiben a támadó nem jelentkezik azonnal önként, ezzel jóhiszeműségét igazolva, és az észlelt támadás átlép egy szintet, vagyis a támadás meghaladja az etikus hackelés kereteit, akkor a szolgáltató – ügyfelei, rendszerei, és a szolgáltatások folyamatos biztosítása érdekében – feljelentés megtételéről dönthet. A bejelentett vagy felderített hibákat azonnal javítjuk, és folyamatosan intézkedéseket teszünk a biztonság növelése, és ügyfeleink védelme érdekében.
A cikk által idézett konkrét esetben a Magyar Telekom ismeretlen tettes ellen tett feljelentést, ugyanis a hacker - az etikus hackelés kereteit túllépve - az első sérülékenység felfedezése után nem jelezte a hibát azonnal, újabb támadásokat indított, az addig megszerzett adatok segítségével további rendszerek feltörésébe kezdett, és további jogosultságok megszerzésére tett lépéseket. A támadás ügyfelek személyes adatait nem érintette, azok teljes biztonságban voltak és vannak. A támadása nem érintette azokat a távközlési hálózatokat sem, amelyeken az ügyfelek kommunikálnak. A hacker által feltárt hiányosságokat cégünk haladéktalanul kijavította, megszüntette."