Börtönnel fenyegették, pénzbüntetést kapott a telekomos hibát feltáró hekker
Deutsche Telekom-installáció egy 2012-es berlini telekommunikációs kiállításon (Forrás: Bin im Garten/Wikipedia)

Sikerrel védték meg a legsúlyosabb büntetéstől azt a segítő szándékú hekkert, aki biztonsági rést talált a Magyar Telekom informatikai rendszerében – olvasható a Társaság a Szabadságjogokért honlapján. A civil jogvédő szervezet tájékoztatása szerint, bár az ügyészség börtönnel fenyegette ügyfelüket, végül a bíróság csak pénzbírságot szabott ki rá. A TASZ azonban az enyhébb ítélettel sem ért egyet, mert szerintük a bíróság nem ismerte fel, hogy a köz érdekében végzett hekkelés nem veszélyes a társadalomra, így büntetés sem jár érte.

Védencük még 2017 tavaszán figyelt fel egy szokatlan IP-címre a Magyar Telekom egy nyilvános, interneten elérhető felhasználói útmutatójában. Az akkor főiskolás programozó a címet megvizsgálva rájött, hogy azon keresztül lehetséges rendszergazdai jelszóhoz jutni, ami hozzáférést enged a vállalat belső informatikai rendszeréhez. A hibát azonnal jelezte a Telekomnak, sőt egy személyes találkozón rövid elemzésben fel is vázolta a cég kiberbiztonsági szakembereinek, hogy milyen hibákat tárt fel, és hogy milyenek lehetnek még a rendszerben – felhasználói adatok ezreit mentve meg ezzel.

A Telekom szakértői annyira elégedettek voltak a munkájával, hogy még az alkalmazása is szóba került, ezért úgy döntött, hogy hazatérve folytatja a további hibakutatást – amíg egy reggel meg nem jelent nála a rendőrség, hogy előállítsák és gyanúsítottként hallgassák ki Budapesten a Telekom információs rendszerének feltöréséért.

A cég szakemberei a tárgyalás során megerősítették, hogy komolyan gondolkodtak az etikus hekker alkalmazásán, akit tehetségesnek és felkészültnek tartanak. Az ügyészség azonban súlyos bűncselekményként kezelte a történteket, a fiatal programozót előzetes letartóztatásba akarták helyezni, később alkut ajánlottak: 2 év szabadságvesztést kapott volna 4 évre felfüggesztve, ha hajlandó bűnösnek vallani magát. Ellenkező esetben letöltendő börtönt kértek volna rá.

A bíróság ítéletében végül 600 ezer forint pénzbüntetés megfizetésére kötelezte a hekkert. Bár a legsúlyosabb jogi következménytől sikerrel védte meg, a programozót képviselő Hüttl Tivadar nem elégedett az ítélettel.

– Aki jószándéktól vezérelve a köz érdekében feltár egy komoly biztonsági hibát, nem követ el olyan cselekményt, ami veszélyes lenne a társadalomra. A büntetőjog az ártó szándékú cselekmények esetében alkalmazható. A bíróságnak fel kellett volna ismernie, hogy a védencünknek köszönhetően hárult el a biztonsági kockázat és felmentő ítéletet kellett volna hoznia. Fontos, hogy a joggyakorlat ebbe az irányba menjen, a bíróságok ismerjék fel, hogy az etikus hekkerek nem követnek el bűncselekményt, ezért fellebbeztünk – olvasható a TASZ közleményében.

FRISSÍTÉS: Cikkünk megjelenését követően a Telekom közleményben reagált a bíróság döntésére, és a TASZ azt követően kiadott nyilatkozatára. Reakciójukat változtatás nélkül közöljük.

„A Telekom rendszerébe 2017 tavaszán számos alkalommal, illetéktelenül behatoló hacker ügye kapcsán, a Társaság a Szabadságjogokért (TASZ) közleményével szemben az alábbiakat kívánjuk leszögezni. Ahogy az a bíróság első fokú ítélete alapján is nyilvánvaló, a hacker nem etikusan járt el, ezért etikus hackerként hivatkozni rá a cikkekben és azok címében nem tényszerű.

A Magyar Telekom ismeretlen tettes ellen korábban azért tett feljelentést, mert a hacker – az etikus hackelés kereteit több szempontból jelentősen túllépve - az első sérülékenység felfedezése után, a vállalat kifejezett kérése ellenére, számos alkalommal újabb támadásokat indított, az addig megszerzett adatok segítségével további rendszerek feltörésébe kezdett, és további jogosultságok megszerzésére tett lépéseket. Az észlelt sérülékenységet anyagi haszonszerzés céljára is próbálta felhasználni. Mindezek a TASZ saját honlapján megtalálható, etikus hackereknek szóló útmutató szerint is ellentmondanak az etikusság fogalmának.

A támadás ügyfelek személyes adatait nem érintette, azok teljes biztonságban voltak és vannak. A támadása nem érintette azokat a távközlési hálózatokat sem, amelyeken az ügyfelek kommunikálnak. A támadások kapcsán feltárt hiányosságokat a Magyar Telekom még 2017-ben, rövid időn belül kijavította, megszüntette. A vállalat bűncselekmény gyanúja miatt tett feljelentést és a vizsgálat során mindenben együttműködött a nyomozóhatósággal, azonban az ítéletre és a büntetési tételre semmilyen hatása nem volt.

Ugyanakkor továbbra is fontosnak tartjuk, hogy Magyarországon is kialakuljon az etikus hacker tevékenység szabályozott és széles körben elfogadott gyakorlata, valamint hogy a közvélemény is megismerje, megértse az etikus hackelés ismérveit. Ezt elősegítendő a Magyar Telekomnál dolgozunk egy bug bounty program kialakításán. Emellett tervezünk egy egyetemistáknak, főiskolásoknak szóló versenyt, ahol olyan feladatok megoldásán dolgozhatnak csapatokban a diákok, amely során megismerkedhetnek az etikus hackelés kereteivel.

A Magyar Telekom számára kiemelten fontos rendszereinek, valamint az ügyfelek személyes adatainak védelme. Ennek érdekében folyamatosan fejlesztjük és monitorozzuk rendszereinket, hogy szükség esetén azonnal megtehessük a szükséges intézkedéseket. A bejelentett vagy felderített hibákat azonnal javítjuk, és folyamatosan intézkedéseket teszünk a biztonság további fokozására ügyfeleink védelme érdekében (pl. belső folyamatok, szabályozások felülvizsgálata, munkatársak képzése). A még hatékonyabb működés érdekében a Magyar Telekom nemrég átalakította biztonsági szervezetét is, amely új vezető irányítása alatt működik.”