Egy másik etikus hackert is a rendőrök vittek el, mert figyelmeztette a Telekomot a hibákra

Mint arról mi is beszámoltunk, július közepén a BKK elindította új, online jegy- és bérletvásárlási felületét. Az új bérletet és a felületet azonnal tesztelni kezdték a felhasználók, és rövid időn belül kiderült pár hiba a rendszerben.

Egy 18 éves fiú megmutatta, hogyan lehet alapszintű hekkeléssel annyi pénzért jegyet venni a rendszerben, amennyiért te akarsz. Tesztjében 50 forintért vásárolt teljes árú havi bérletet 9500 forint helyett, és figyelmeztette is e-mailben a hibára a BKK-t, és közölte azt is, hogy az így vásárolt bérletet természetesen nem használja fel.

Ezután a T-Systems és a BKK feljelentést tett a 18 éves fiú ellen, akit a rendőrök július 22-én csütörtökön előzetes letartóztatásba helyeztek. Ezt követően mind a T-Systems, mind a BKK dühös kommentek áradatát kapta Facebookon, a BKK FB-oldalán több tízezer 1-es értékelés jelent meg, és egy időre hol a T-Systems, hol pedig a BKK honlapja vált elérhetetlenné. A két vállalat a hét végén bocsánatot kért a történtekért.

Az Index most megírta, hogy

nem a 18 éves fiú volt az egyetlen, akit a rendőrök vittek el, miután felfedezett egy biztonsági rést a rendszeren a Telekomnál.

Egy huszonéves fiatal idén áprilisban fedezett fel komoly biztonsági rést a cégnél. Ezt jelezte, majd behívták, még a közös munka is szóba került. Ő tovább tesztelte a rendszert, aminek a vége az lett, hogy hozzá is rendőrök csöngettek be.

Képünk illusztráció, forrás: Pixabay.com

A huszonéves programozónak tanul, de érdekli az informatikai biztonság is. 2017 tavaszán olcsóbb díjcsomagra váltott a Telekomnál. Olyan DNS-kiszolgálót keresett, amellyel jobban tud internetezni. A Telekom weboldalán rábukkant egy olyan, pdf-fájlban olvasható felhasználói útmutatóra, amiben szerepelt egy DNS-kiszolgáló IP-címe.

"Végzett egy rutinvizsgálatot erre az IP-címre, majd meglepve tapasztalta, hogy innen viszonylag könnyen hozzájutott egy rendszergazdai jelszóhoz. Ez a jelszó egy olyan fejlesztői szerverre szólt, ahonnan tovább lehetett lépni a Telekom teljes hálózatába."

Értesítette a vállalatot a biztonsági résről, ezután behívták személyes beszélgetésre a Krisztina körúti székházba. Dokumentációt készített az esetről, és a helyszínen meg is mutatta, hogyan lehet megszerezni a rendszergazdai jelszót a cég nyilvános honlapján keresztül.

Megkérdezték, mi volt a célja, a fiatalember pedig azt válaszolta, hogy nem volt különösebb oka, és szívesen segít a további hibák feltárásában. Szóba került az is, hogy mi lenne, ha a cégnek dolgozna, ám egy ezzel kapcsolatos e-mailváltás során a vállalat már visszakozott, azzal, hogy sokallják az általa írt napidíjat.

A fiatalember folytatta a tesztelést, és úgy gondolta, az eredményről szól a Telekomnak. "Május elején olyan sebezhetőségre bukkant, amellyel a teljes állami és lakossági mobil- és adatforgalomhoz hozzá lehetett férni, és a T-Systems által kiszolgált cégek szervereinek adatforgalmát is meg lehetett volna figyelni."

Néhány héttel később a Nemzeti Nyomozóiroda munkatársai csengettek be hozzá házkutatási paranccsal. Lefoglalták az eszközeit, meg kellett mondania a router jelszavát, magukkal is vitték Budapestre és rabosították.

A kihallgatás végén közölték vele, hogy információs rendszer vagy adat megsértésének bűntettével vádolják - a Btk. Andrásra vonatkozó 423. paragrafusának 2/b pontja ezt írja erről: „az információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz". Ezt akár 3 éves börtönnel is büntethetik. Miután az éjszakát a fogdában töltötte, másnap hazavitték a rendőrök.

A bíróságon az ügyész 30 napos előzetest kért, a bíró azonban úgy döntött, hogy erre nincsen szükség. A nyomozás még zajlik, az eszközei lefoglalását meghosszabbították.

A teljes cikket erre a linkre kattintva olvashatjátok el.

A Magyar Telekom Nyrt. az Index kérdésére megírta, hogy a fiatalember tevékenysége nem érintette az ügyfelek személyes adatait, vállalat vezetékes és mobil-előfizetőinek személyes adatai teljes biztonságban voltak és vannak. "Támadása nem érintette azokat a távközlési hálózatokat, amelyeken az ügyfelek kommunikáltak. Az általa feltárt hiányosságokat pedig a cég haladéktalanul kijavította, megszüntette."