Már nem gyanúsítják a BKK-t figyelmeztető etikus hekkert

Nem gyanúsítják többet azt a fiút, aki felhívta a BKK figyelmét a rendszerének hiányosságára, mire a rendszert üzemeltető T-Systems cserébe rászabadította a rendőrséget.

"Az ügyészség helyt adott az engem védő Társaság a Szabadságjogokért ügyvédje által tett panasznak az ügyemben, ezáltal nem tekintenek a továbbiakban gyanúsítottnak, felmentettek" - írta a hekker a Facebookon.

"Az ügyészség megállapította, hogy a célom valóban és nem cáfolhatóan a biztonsági rés feltárása és ennek közlése volt a BKK felé, amelyet két e-mail címre is megtettem, de erre választ nem kaptam. Megállapították, hogy ahhoz, hogy kétséget kizáróan meggyőződjek a rendszerhibáról, szükséges volt a vásárlás befejezése; továbbá azt is, hogy a cselekményem vezetett ezen informatikai rendszer olyan módon történő kijavításához, mely kizárja a hasonló cselekmények kivitelezését a továbbiakban; a fentiek alapján pedig azt, hogy cselekményem nem veszélyes a társadalomra, mely a bűncselekmény megállapíthatóságának törvényi előfeltétele."

"Emellett megállapították, hogy a bejelentésem közérdekű bejelentésnek minősül (ami büntethetőséget kizáró ok), mivel olyan körülményre hívta fel a figyelmet, melynek orvoslása a közösség érdekét szolgálja, de mivel cselekményem a társadalomra való veszélyesség hiánya miatt alapból nem minősül bűncselekménynek, ezt a továbbiakban nem vizsgálták."

Segítségért cserébe börtönfenyegetés

Július 21-én éjjel a rendőrök elvitték kihallgatásra azt a fiatal fiút, aki feltörte a BKK online jegyvásárlási rendszerét, állítása szerint azért, hogy bizonyítsa, milyen biztonsági rések vannak benne.

 A fejlett országokban többnyire bevett gyakorlat, hogy ha egy cég valamilyen rendszerében egy etikus hekker biztonsági rést talál, és ezt jelzi a cégnek, akkor köszönetet és szerződéses keretek között még pénzt is kap. A BKK érezhetően egy másik utat választott, gyakorlatilag rossz szándékú hekkerként kezelték a biztonsági rést találó és jelző fiatalt.

 Az eset közfelháborodást váltott ki, mert bár arról megoszlanak a vélemények, hogy nevezhető-e a fiú etikus hekkernek, és megfelelően járt-e el, a két cég válaszreakciója is erősen megkérdőjelezhető volt, amiért – a közvélemény nyomása után – bocsánatot is kértek, a T-Systems német anyacége pedig elhatárolódott a magyarországi leányvállalatától.

Az RTL szerint a fiút akár nyolc év börtönnel is büntethették volna.

A T-System és BKK nem csak a jegyekkel bénázott

Több mint háromezer felhasználó személyes adatai szivárogtak ki a T-Systems és a BKK közös rendszeréből, írtuk meg korábban. A hanyagul kezelt adatbázis azért különösen komoly probléma, mert élő emailcímeket és jelszavakat is tartalmazott – márpedig az emberek nagy része ugyanazt a jelszót használja mindenhol, így a regisztrációnál megadott emailcíménél is. A személyi igazolvány száma szintén különösen érzékeny személyes adat, amivel vissza lehet élni.

Az adatbázist a 24.hu átadta a Nemzeti Adatvédelmi és Információbiztonsági Hatóságnak (NAIH), ahol – úgy fogalmaznak – „minden kétséget kizáróan” igazolják majd az adatok valódiságát. Péterfalvi Attila, a hivatal vezetője már hétfőn közölte velünk, hogy vizsgálatot kezdeményez az ügyben, amikor még nem volt ismert az adatbázis megléte.

A Telekom egyébként korábban is rendőröket küldött olyanokra, akik jó szándékkal figyelmeztették a hibáikra.