Hiányos vádirattal, fenyegetőzéssel, az ügyészség feltűnő szakmai hozzá nem értése mellett zajlik annak az etikus hackernek a büntetőpere, aki felhasználók százezreit veszélyeztető hibát tárt fel a Magyar Telekom informatikai rendszerében – számol be a TASZ egyik védence ügyéről.
Azok a hackerek, akik hibát találnak egyes – elsősorban állami – intézmények működésében, és ezt jelzik az illetékeseknek, nem követnek el büntetendő cselekményt, hanem kifejezetten hasznos, amit csinálnak. Ezt hívjuk etikus hackelésnek, az „elkövetőjét” pedig etikus hackernek. A TASZ szeretné elérni, hogy végleg megszűnjön az a káros gyakorlat, hogy az etikus hackerek ellen büntetőeljárásokat folytatnak le, mert kifejezetten hasznosak a társadalomnak, és nem jelentenek semmiféle veszélyt.
A huszonéves, programozónak tanuló fiatal 2017 nyarán figyelt fel rá, hogy egy hiba miatt lehetséges rendszergazdai jelszóhoz jutni, majd belépni a vállalat belső informatikai rendszerébe. Ezt azonnal jelezte is a cég kiberbiztonsági szakembereinek, a cég azonban feljelentést tett a bejelentő ellen.
„De bármilyen szomorú is, hogy egy vállalat börtönbe juttatná azt, aki helyette is megmenti az előfizetőit, az igazi probléma az ügyben az ügyészség vállalhatatlan eljárása. A jelek szerint ugyanis nem csak hogy nem értenek, de nem is akarnak érteni annak a pernek a tárgyához, amelyben éppen vádat emeltek.”
– írja a TASZ.
A vádiratból ugyanis nem derül ki pontosan, mikor, milyen eszközzel, hogyan és mit követett el a vádlott, ahogy az sem, mi a kapcsolat a bizonyítékok és a vád között „és általában semmi, amit a törvényes vádhoz szükséges lenne részletesen bemutatni”.
A TASZ szerint különösen botrányos az az alku, amit az ügyészség ajánlott: ha a vádlott beismeri bűnösségét, akkor csak 2 év felfüggesztett börtönt kap, ha azonban nem él ezzel az ajánlattal, akkor 5 év letöltendőt fognak kérni.
„Hogyan lehet ennyire biztos az ügyész az ügy jogi megítélésében, amíg még le se folytatták a bizonyítást?” – teszi fel jogosan a kérdést a TASZ.
Az ügy talán egyik legmeglepőbb érvelése az ügyészé, aki szerint azért van szükség a vádlott előzetes letartóztatására, mert
„nem vagyunk informatikusok, de a médiából tudjuk, hogy ha valaki számítástechnikai eszköz és internetkapcsolat birtokában megfelelő szaktudással rendelkezik, akkor ezeket a digitális lábnyomokat, amiket hagy, azokat el is tudja tüntetni.”
Ennek ellenére a másfél éve húzódó ügy alatt nem kérte ki szakértő véleményét, az érvelése pedig a bíróságot sem győzte meg, így az előzetes letartóztatást legalább elvetették.
Örömre azonban semmi oka a jóhiszemű etikus hackernek, ugyanis az ügyészség az előbb említett informatikai szaktudás teljes hiányában, érdemi alátámasztás nélkül tovább súlyosbította a vádat,
így most már „közérdekű üzem” megzavarására hivatkozva 8 éves szabadságvesztésre ítélnék.
Az egész azért is teljesen érthetetlen, mert maga a Telekom cáfolja az Indexnek adott nyilatkozatában, hogy a behatolás megzavarta volna a működésüket:
„az ügyfelek személyes adatait tevékenysége nem érintette, a Magyar Telekom vezetékes és mobil-előfizetőinek személyes adatai teljes biztonságban voltak és vannak. Támadása nem érintette azokat a távközlési hálózatokat, amelyeken az ügyfelek kommunikáltak.”
– állítja a feljelentő.
Ráadásul az ügyészség azt sem vizsgálta, hogy a Telekom figyelmeztetése a súlyos hibára közérdekű bejelentésnek minősül-e. A közérdekű bejelentőket ugyanis kifejezetten védelmezi a jogszabály, aminek értelmében meg kellene szüntetni a büntetőeljárást.
A TASZ régóta küzd azért, hogy az etikus hackerek is részesüljenek a közérdekű bejelntőnek járó védelemben. Ezért is védték többek között azt a gimnazistát, aki a BKK (egyébként pont a Telekom által működtetett) internetes rendszerében talált hibákat, és akit együttműködése ellenére a Telekom szintén feljelentett.
Frissítés (13:27)
A Magyar Telekom állásfoglalása:
Ahogy minden nagyobb céget, a Magyar Telekom rendszerét is érik támadások. Nagyon komoly belső rendszerek, folyamatok biztosítják azt, hogy ezeket megelőzzük, kivédjük. Rendszereinket folyamatosan monitorozzuk, hogy szükség esetén azonnal megtehessük a szükséges intézkedéseket. Amennyiben a Magyar Telekom Csoport valamely rendszerén valaki hibát talál, és ezt a Telekomnak haladéktalanul jelzi, valamint semmilyen módon nem él vissza ezzel (pl. nem módosít, nem töröl, nem ment ki információt stb.), együttműködik a Telekom saját vizsgálatával, és nem publikálja a hibát (ezzel veszélyeztetve a rendszert), akkor a Telekom nem tesz feljelentést ellene.
Amennyiben a támadó nem jelentkezik azonnal önként, ezzel jóhiszeműségét igazolva, és az észlelt támadás átlép egy szintet, vagyis a támadás meghaladja az etikus hackelés kereteit, akkor a szolgáltató – ügyfelei, rendszerei, és a szolgáltatások folyamatos biztosítása érdekében – feljelentés megtételéről dönthet. A bejelentett vagy felderített hibákat azonnal javítjuk, és folyamatosan intézkedéseket teszünk a biztonság növelése, és ügyfeleink védelme érdekében.
A cikk által idézett konkrét esetben a Magyar Telekom ismeretlen tettes ellen tett feljelentést, ugyanis a hacker – az etikus hackelés kereteit túllépve – az első sérülékenység felfedezése után nem jelezte a hibát azonnal, újabb támadásokat indított, az addig megszerzett adatok segítségével további rendszerek feltörésébe kezdett, és további jogosultságok megszerzésére tett lépéseket. A támadás ügyfelek személyes adatait nem érintette, azok teljes biztonságban voltak és vannak. A támadása nem érintette azokat a távközlési hálózatokat sem, amelyeken az ügyfelek kommunikálnak. A hacker által feltárt hiányosságokat cégünk haladéktalanul kijavította, megszüntette.
