Segíteni akart a Telekom hibájánál

Most már egy hete áll a BKK e-jegyének lebukásának bevezetése. Ennek az ügynek a főszereplője egy tizenéves fiatalember, aki észrevett egy rést a rendszerükben. Valamint ezzel kapcsolatosan szólt a BKK-nak erről, akiknek köszönhetően mégis elvitték a rendőrök a programot fejlesztő T-Systems feljelentése után. Ám nem ő volt az egyetlen hacker, akivel a Telekom-csoport keményen bánt. Hasonló gond történt, amikor egy 20 éves fiatal az idei év áprilisában fedezett fel komoly biztonsági rést a vállalatnál. Erről szólt, majd behívták a vállalathoz, plusz közös munka is szóba került. Ő tovább tesztelte a rendszert, a végén az történt, hogy hozzá is rendőrök mentek el.

Egy nevet találunk most ki neki: Aladárocska, a húszas évei elején jár. Egy vidéki főiskolán programozónak tanul, de hobbiszinten érdeklődik az informatikai biztonsági rendszerek felé. Az idei évünkben, mégpedig tavasszal egy olcsóbb díjcsomagra váltott a Telekomnál. Olyan DNS-kiszolgálót keresett, aminek segítségével jobban tud internetezni. Ez viszont teljesen elfogadott, legális.
Telekom | fotó: MTI | Mohai Balázs

Telekom vs. kíváncsi fiatalok

A BKK e-jegyének rendszerét a T-Systems fejlesztette ki, a feltörése után ők indítottak el feljelentést. A mostani történetben a T-Systems anyavállalata, a Magyar Telekom a főszereplője ennek az ügynek. Az derült ki, hogy a nagyvállalat nem szereti a rendszer hibáit tesztelgető fiatalok lelkesedését. Íme, más cikkek innen.

Az úriember a Telekom weboldalán rábukkant egy olyan pdf-fájlban olvasható felhasználói útmutatóra, amiben szerepelt egy DNS-kiszolgáló IP-címe. Végzett egy rutinvizsgálatot erre az IP-címre, ezek után tapasztalta, hogy innen viszonylag könnyedén hozzájuthat egy rendszergazdai jelszóhoz. Hogy miről szól, ebbe mi most a blog oldalunkon nem igazán akarunk bele menni.

Aladárocska megkereste a Telekomot, és jelezte nekik, hogy súlyos biztonsági rést talált. Ez után Telekom szakemberei elhívták a budapesti székházba, hogy személyesen mesélje el tapasztalatait. Mintha a sunyiság indult volna el.  Aladárocska írt egy “hét” oldalas dokumentációt, majd elutazott Budapestre.

Elindult a beszélgetés

A T-Systems biztonsági szakembereinek mondta el a fiatalember, hogyan jutott be a belső hálózatba. Egy laptopon meg is mutatta, hogy milyen lépésekkel lehet megszerezni a rendszergazdai jelszót egy publikus weboldalukon keresztül. A szakemberek ingatták a fejüket, és azt mondták: “igen, igen, kellő kitartással valóban elképzelhető ez, de ez valószínűleg kevés embernek jutna eszébe”. Aladárocska meglepte ez a reakció. Azt gondolta, hogy az ország legnagyobb szolgáltatójánál ezért jobban felkapják a fejüket a rendszer védelem tekintetében.

A beszélgetés alatt folyamatosan kérdezték tőle, hogy mi volt a motivációja, miért törte fel a rendszert, valamint ezt most miért jelzi feléjük. (Inkább összetették volna a kezüket) Aladárocska azt felelte, hogy semmi különösebb kihívása nem volt ennél. Szívesen segít a vállalatnak a továbbiakban is hasonló hibák feltárásánál. Ezután nem tették közzé, de szóba került, hogy dolgozzon náluk alkalmazottként fizetésért. A másik választási lehetőség az lett volna, hogy számlásként napidíjat fizetnek neki a rendszer további teszteléséért.

A tizenéves úr hazaérte után emailen keresztülfolytatták a tárgyalást. Aladárocska egy emailben leírta, hogy mennyi pénzre gondolt ő saját maga azért, hogy biztonsági rések feltárásban segítse a céget. Ezután egy egysoros választ kapott: sokallják az általa kért napidíjat. Több emailt ezután már nem kapott. Janklovics Ádám, Aladárocska ügyvédje azt mondja: ezen a ponton se azt nem mondta neki a Telekom, hogy vége az együttműködésüknek.

INDEX megtudta

Andrást azonban nem hagyta nyugodni a gondolat, hogy ennyire sérülékeny a rendszer. Folytatta a tesztelést, aminek eredményét szintén meg akarta osztani a Telekommal. Aladárocska ebből látta, hogy ezt a sebezhetőséget ezek szerint már észlelték a cégnél. Ezek után felhagyott a rendszer tesztelésével. Ez olyan, amikor alkalmazottként elmondom az ötletemet, majd amire észbe kapok, hogy rám már nincsen szükségük

Mint később megtudta, a Magyar Telekom ezen napon ismeretlen tettes ellen feljelentést tett a rendszerét ért támadás miatt.

Háromhéttel később. Még nem volt reggel 7 óra, amikor egy reggelen a Nemzeti Nyomozó Iroda négy munkatársa csöngetett a vidéki városban lévő lakás ajtaján. Házkutatási parancsot mutattak, és azt kérték, hogy az összes informatikai eszközét adja át, telefont, laptopot, számítógépet, ergo mindent. Megmutatta a rendőröknek a fiókjait, ellenben a hatóság külön is benéztek mindenhova. Amikor a házkutatás miatt enyhén sokkos állapotban lévő Aladárocska erre azt válaszolta, ő nem szokott csak úgy jelszavakat kiadni. A rendőrök azt mondták: jobb ha együttműködik velük, mert úgy is fel fogják törni a jelszót. A házkutatás végén aláírattak vele egy jegyzőkönyvet a lefoglalt termékekről, eszközökről.

Mielőtt elindultak vele, a rendőrök két választási lehetőséget ajánlottak: ha ellenáll, meg kell bilincselniük, ha nem, békésen beszáll velük az autóba. Így, nem kapott bilincselést. Beült a négy rendőrrel a gépjárműbe, és azonnal indultak Budapestre. Persze azután, hogy még nem is reggelizett, útközben megálltak valahol és vehetett egy üdítőt.

Rabosították

A többórás kihallgatáson az NNI kiberbűnözéssel foglalkozó munkatársainak kellett elmondani, mit csinált. A telefonjának feloldásáról is szó volt, de erről itt most nem írunk, ez az indexen olvasható részletesebben. A kihallgatása alatt elhangzott, hogy ha nem teszi meg, 72 órás őrizetre is bent tarthatják. András készségesen megtette, majd a laptopja jelszavát is beírta a nyomozóknak a gépbe.

A kihallgatás végén közölték vele, hogy információs rendszer vagy adat megsértésének bűntettével vádolják. A Btk. Aladárocska vonatkozó 423. paragrafusának 2/b pontja szerint követte el, aki “az információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz”. A Btk. szerint ez a bűntett három évig terjedő szabadságvesztéssel büntetendő.
Magyar Telekom Krisztina körúti székháza | fotó: MTI | Mohai Balázs
Amit kihagytunk, hogy még új lenyomatot is vettek tőle. Autóval elvitték orvosi vizsgálatra, majd visszavitték az Aradi utcai NNI-székház egyik cellájába. Egész nap nem evett semmit sem, ekkor kapott vacsorát, de nem nagyon volt étvágya.

A következő napon végül a fogdaparancsnok segített neki, így tudott venni kártyát. A fogda munkatársai folyton azt kérdezgették tőle, hogy ugyan mit követett el, mert nem úgy néz ki, mint aki oda való lenne.

Kiengedték

A következőnap gépjárművel visszavitték abba a városba, ahol lakik. Itt találkozott az ügyvédjével. A bíróságon arról kellett dönteni, hogy előzetes letartóztatásba helyezzék, vagy sem. A bíró végül úgy döntött, nincs szükség előzetesre a fiúval, így Aladárocska szabadon távozhatott. Házi őrizetet sem sincsen ellene.

Azóta történik ellene a nyomozás. A fiatalember számítástechnikai eszközök lefoglalását meghosszabbították.

Pénzt szeretett volna?

A történetet végigolvasva, biztos jó néhány kérdés került elő az olvasás alatt. Vajon tényleg segítő szándékkal fordult a Telekom irányába? Egy kicsivel több pénzt szeretett volna? Miért folytatta a keresgélést, ha a Telekomtól nem kapott választ az állás esetleg a szerződéses megbízás ügyében?

Aladárocska ezekre azt mondta, hogy: elsősorban a segítő szándék és a kíváncsiság hajtotta. Ő maga is ügyfele a Telekomnak. Nem tartja magát hekkernek, csak az informatikai biztonság iránt érdeklődő embernek.

Hogy mit válaszolt az Index kérdéseire a Telekom, elolvasható az oldalukon.

Mindezeken kívül az oldalunk olvasói hozzászólhatnak, a cikkünkhöz.

Szólj hozzá!

Legyél te az első hozzászóló!

Visszajelzés
avatar
wpDiscuz