Elítélték a Magyar Telekom etikus hekkerét
Megvédte a legsúlyosabb büntetéstől a Társaság a Szabadságjogokért (TASZ) azt a segítő szándékú hekkert, aki biztonsági rést talált a Magyar Telekom informatikai rendszerében, írja a TASZ az Indexhez is eljuttatott közleményében. Bár az ügyészség börtönt kért rá, végül a bíróság csak pénzbírságot szabott ki, de a TASZ nem ért egyet az enyhébb ítélettel sem.
Az ügy vádlottja 2017 tavaszán figyelt fel egy szokatlan IP-címre a Magyar Telekom egy nyilvános, interneten elérhető felhasználói útmutatójában. Az akkor főiskolás programozó a címet megvizsgálva rájött, hogy azon keresztül lehetséges rendszergazdai jelszóhoz jutni, ami hozzáférést enged a vállalat belső informatikai rendszeréhez. Jelezte a hibát a Telekomnak, sőt egy személyes találkozón rövid elemzésben fel is vázolta a cég kiberbiztonsági szakembereinek, hogy milyen hibákat tárt fel, és hogy milyenek lehetnek még a rendszerben – felhasználói adatok ezreit mentve meg ezzel.
Szólt a Magyar Telekomnak egy biztonsági résről, 8 év börtönt kaphat
A cég szerint a fiatal túllépte az etikus hackelés kereteit túllépve, több rendszerüket is feltörte.
A Telekom szakértői annyira elégedettek voltak a munkájával, hogy még az alkalmazása is szóba került, ezért úgy döntött, hogy hazatérve folytatja a további hibakutatást – amíg egy reggel meg nem jelent nála a rendőrség, hogy előállítsák és gyanúsítottként hallgassák ki Budapesten a Telekom információs rendszerének feltöréséért.
TASZ: Etikus volt a hekker
A cég szakemberei a tárgyalás során megerősítették, hogy komolyan gondolkodtak az etikus hekker alkalmazásán, akit tehetségesnek és felkészültnek tartanak. Az ügyészség mégis súlyos bűncselekményként kezelte a történteket:
az etikus hekkert előzetes letartóztatásba akarták helyezni, majd egy alku keretében 2 év szabadságvesztést ajánlottak neki 4 évre felfüggesztve, ha hajlandó bűnösnek vallani magát. Ellenkező esetben 8 év letöltendő börtönt kértek volna rá.
A büntetőperben a Szolnoki Járásbíróság első fokú határozatában bűnösnek találta a vádlottat, információs rendszer megsértésének bűntettében. A bíró, Nánási Máté, a következőképp állapította meg a tényállást: a szolnoki fiatal 2017 tavaszán, Szolnokról és Rákóczifalváról, interneten keresztül jogosulatlanul belépett az egyik legnagyobb magyar telekommunikációs cég szerverébe, megszerezte a társaság rendszergazdai jogosultsággal rendelkező munkatársának felhasználónevét és jelszavát, majd azok segítségével a saját részére felhasználói profilokat hozott létre, és a cég dolgozóinak belépési adatait, felhasználóneveit és jelszavait gyűjtötte, írja a Szoljon.hu. Ezekkel a profilokkal teljesen hozzáfért a rendszerhez és lehetősége nyílhatott volna a telekommunikációs cég ügyfeleinek telefon- és internet-szolgáltatásának blokkolására, és a rendszer feletti teljes vezérlés átvételére. A vádlott jelezte a cég munkatársainak a rendszer hiányosságait, de azok figyelmeztetése ellenére, miszerint cselekménye bűncselekménynek minősül, folytatta a rendszerbe történő jogosulatlan belépést. A bíró a vádlottat 300 napi pénzbüntetésre ítélte, az egy napi büntetési tételt kétezer forintban állapította meg.
A bíróság tehát első fokon az ügyészség által indítványozottnál enyhébb ítélet hozott: 600 000 forint pénzbüntetés megfizetésére kötelezte a huszonéves vádlottat. Az ügyész a bűntett "közérdekű üzemre elkövetett" minősítését hiányolta, a kiszabott pénzbüntetést enyhének találta, ezért a minősítés megállapításáért, súlyosításért, míg a vádlott és védője elsősorban felmentésért, illetve enyhítésért fellebbezett.
Hüttl Tivadar, a TASZ ügyvédje annak ellenére, hogy a legsúlyosabb jogi következménytől sikerrel védte meg ügyfelét, nem elégedett az ítélettel.
Aki jószándéktól vezérelve a köz érdekében feltár egy komoly biztonsági hibát, nem követ el olyan cselekményt, ami veszélyes lenne a társadalomra. A büntetőjog az ártó szándékú cselekmények esetében alkalmazható. A bíróságnak fel kellett volna ismernie, hogy a védencünknek köszönhetően hárult el a biztonsági kockázat és felmentő ítéletet kellett volna hoznia. Fontos, hogy a joggyakorlat ebbe az irányba menjen, a bíróságok ismerjék fel, hogy az etikus hekkerek nem követnek el bűncselekményt, ezért fellebbeztünk
– mondta Hüttl. Az ítélet tehát nem jogerős, a büntetőügy a Szolnoki Törvényszéken folytatódik. A TASZ jogvédő szervezet továbbra is jogi segítséget ajánl az etikus hekkereknek.
Magyar Telekom: Nem tényszerű
A Magyar Telekom Indexhez is eljuttatott állásfoglalása szerint "a hacker nem etikusan járt el, ezért etikus hackerként hivatkozni rá a cikkekben és azok címében nem tényszerű". A cég szerint azért tettek feljelentést a fiatal programozó ellen, mert "az etikus hackelés kereteit több szempontból jelentősen túllépve - az első sérülékenység felfedezése után, a vállalat kifejezett kérése ellenére, számos alkalommal újabb támadásokat indított, az addig megszerzett adatok segítségével további rendszerek feltörésébe kezdett, és további jogosultságok megszerzésére tett lépéseket", részben haszonszerzés céljából is.
A Magyar Telekom hangsúlyozta, hogy "a támadás ügyfelek személyes adatait nem érintette, azok teljes biztonságban voltak és vannak", valamint hogy a támadás "nem érintette azokat a távközlési hálózatokat sem, amelyeken az ügyfelek kommunikálnak". A cég szerint a támadások kapcsán feltárt hiányosságokat még 2017-ben kijavították. A cég fontosnak tartotta azt is közölni, hogy a Magyar Telekomnak "az ítéletre és a büntetési tételre semmilyen hatása nem volt".