Hatszázezerbe kerülhet az etikus hackernek, hogy rést talált a Telekom pajzsán

A fiatal programozó egy IP-címen keresztül fért hozzá érzékeny belső adatokhoz. Jelezte a hibát és állást is kért vállalatnál – most örülhet, ha megússza a börtönt.

Információs rendszer vagy adat megsértése bűntettében találták első fokon bűnösnek, és 600 ezer forint pénzbüntetésre ítélték azt a fiatal férfit, aki még 2017-ben mutatott rá egy óriási biztonsági résre a Magyar Telekom hálózatán – derül ki a szerdán publikált bírósági közleményből.

A Szolnoki Járásbíróság még enyhének is mondható ítéletet hozott, hiszen az ügyészség tavaly júliusban „közérdekű üzem megzavarása” miatt emelt vádat a programozó ellen; utóbbi minősített esetnek számít, és akár nyolc év börtön is járhat érte.

Az ügyben készített szakértői vélemény szerint azonban a feltört szerver nem számít közérdekű üzemnek – a bíróság pedig az alapesetben kiszabható három év börtönt sem tartotta indokoltnak a büntetlen előéletű férfi esetében.

A pernek még nincs vége: a vádlott és védője enyhítésért, az ügyészség súlyosbításért fellebbezett, így az eljárás másodfokon folytatódik majd a Szolnoki Törvényszéken.

Hiába figyelmeztetett a hibára

A programozó ügye egyike volt az annak idején nagy port felverő etikus hacker-botrányoknak: a férfi a neten elérhető használati útmutatóban figyelt fel egy DNS-kiszolgálóhoz tartozó, szokatlan IP-címre, amiről kiderült: azon keresztül rendszergazdai jelszót lehet szeretni, majd azzal belépni a Magyar Telekom belső informatikai rendszerébe. A férfi így hozzáférhetett dolgozók adatbázisaihoz.

A megbeszélésen egyúttal ajánlotta magát, mint biztonsági réseket feltáró programozót, és 700-800 ezres fizetési igényét is megjelölte; az ötlet nem jött be a vállalati szakembereinek, tárgyalásaik pedig néhány levélváltás után megszakadtak.

A vádlott ezután sem sem állt le a hálózat tesztelésével (a bírósági közlemény szerint még 62-szer lépett be jogosulatlanul a szerverre) az Index cikke szerint 2017 májusában pedig olyan sebezhetőségre bukkant, amellyel a teljes állami és lakossági mobil- és adatforgalomhoz hozzá lehetett férni, és a T-Systems által kiszolgált cégek szervereinek adatforgalmát is meg lehetett volna figyelni.

Ezt a behatolást azonban már Telekom emberei is kiszúrták; befoltozták a rést, ráadásul láthatták a férfi saját IP-címét is, amit valószínűleg jószándéka jeleként sem fedett el a művelet közben.

A vállalat még aznap feljelentést tett ismeretlen tettes ellen rendszerét ért támadás miatt; így kezdődött el az etikus hacker mai napig tartó kálváriája. A programozóért három héttel később eljöttek Nemzeti Nyomozó Iroda rendőrei jöttek, és Budapestre szállították, ahol egy napos őrizet során rabosították is.

A fiatal férfit az eljárás során később a Társaság A Szabadságjogokért védte – akár csak azt a gimnazistát, aki a BKK-e-jegyrendszerében talált hiba miatt hurcoltak meg.