Félrevezető a bíróság közleménye az etikus hacker ügyében
Félrevezető tájékoztatást adott a Szolnoki Törvényszék a Társaság a Szabadságjogokért (TASZ) ügyfele, a Magyar Telekom biztonsági hálózatában hibát feltáró etikus hacker peréről. Az ítéletet a napokban kapta kézhez a TASZ – a benne foglaltaknak számos ponton, elfogadhatatlan módon mond ellent a még decemberben kiadott bírósági közlemény.
A valótlan állításokat tartalmazó, a TASZ ügyfelét rossz színben feltüntető közlemény nagy figyelmet kapott a sajtóban. Ezért fontos sorra venni, hogy a közleményben leírtakkal szemben mi a valóság:
- A közlemény azt állítja, hogy a hacker jogosulatlanul próbált magának internetet biztosítani, amikor a biztonsági rést felfedezte – ehhez képest az egész eljárás során egyszer se merült fel, hogy jogszerűtlen tevékenység közben talált volna a hibára.
- A közlemény azt sugallja, hogy állás reményében kereste meg a vállalatot – noha az ítéletben is szerepel, hogy a Telekom munkatársai ajánlottak munkát a fiatal informatikusnak, ő nem ezzel a céllal hozta a cég tudomására a rendszer hiányosságait.
- Félrevezető az is, hogy a közlemény „félszáz” jogosulatlan belépést emleget: a valóságban egy nagyságrenddel kevesebb alkalommal lépett be a rendszerbe a hacker, mert egy-egy hozzáférés alkalmával több belépés kerül naplózásra.
- A sugalltakkal szemben fel sem merült, hogy a fiatal programozó „átvegye az irányítást” a Telekom teljes rendszere felett, és annak „internet szolgáltatásait blokkolja”. Első dolga volt felvenni a kapcsolatot a Telekom biztonsági főnökével és beosztottjaival, akiknek részletesen feltárta a megtalált hibákat. Durva csúsztatás tehát arra célozgatni, hogy át is vehette volna az irányítást a rendszer felett, hiszen erre semmilyen szándéka nem volt. Védeni akarta az informatikai rendszert, ezért bőven azelőtt megállt és jelezte a hibát, hogy abban igazán mélyre jutott volna.
Nem említi a közlemény, holott a per irataiból kiderül:
- Az etikus hacker a Telekommal való személyes kapcsolatfelvételkor minden információt átadott az illetékeseknek, saját maga által készített prezentációban mutatta be részletesen a biztonsági rést.
- Ezután ugyan visszament a rendszerbe megnézni, hogy kijavították-e a hibákat, de a bíróság megállapította, hogy ezt bizonyítási vágy motiválta, nem pedig anyagi haszonszerzés.
- Azt sem említi a közlemény, hogy a Telekom munkatársai kijelentették: ha tudták volna, hogy az általuk személyesen is ismert hacker áll a belépések mögött, nem tesznek feljelentést.
- A bíróság kimondta, és szakértő is kétséget kizáróan bizonyította, hogy a Telekom informatikai és kommunikációs rendszerének magját alkotó közérdekű üzemet a hacker tevékenysége nem érintette, ettől szándékosan tartózkodott.
Bár a programozó nem mindenben úgy járt el, ahogy a TASZ az etikus hackereknek szóló útmutatójában ajánlja, a bíróság sajtóközleményében megfogalmazott állítások és sugalmazások ellentmondanak a bíróság saját ítéletében megállapított tényeknek, ami elfogadhatatlan.
„Büszkék vagyunk arra, hogy egy jószándékú hackert sikerült megvédenünk a legsúlyosabb büntetéstől, hiszen az ügyészség börtönnel fenyegette, végül csak pénzbüntetést kapott. A TASZ továbbra is segítséget nyújt az etikus hackereknek, hiszen ez az eset is rámutat, hogy van hova fejlődni a hasonló esetek kezelésében” – mondta Remport Ádám, a TASZ Magánszféraprojektjének jogi munkatársa.
______________________________
Válasz a TASZ, „Félrevezető a bíróság közleménye az etikus hacker ügyében” - címmel kiadott közleményére
A Szolnoki Törvényszék Sajtóosztálya közleményben kíván reagálni a Társaság a Szabadságjogokért (TASZ) által a mai napon, „Félrevezető a bíróság közleménye az etikus hacker ügyében” címmel kiadott sajtközleményre.
A Szolnoki Törvényszék Sajtóosztálya visszautasítja, hogy az általa 2019. december 6-án kiadott „Jogerős ítélet a szolnoki hacker-ügyben” – című sajtóközlemény bármiben ellentmondana a jogerős bírósági ítéletben foglaltaknak, egyúttal, a közvélemény objektív és pontos tájékoztatása érdekében az alábbiakban pontonként haladva cáfolja a TASZ állításait:
1./ „A közlemény azt állítja, hogy a hacker jogosulatlanul próbált magának internetet biztosítani, amikor a biztonsági rést felfedezte – ehhez képest az egész eljárás során egyszer se merült fel, hogy jogszerűtlen tevékenység közben talált volna a hibára.”
A TASZ fenti állítását a jogerős elsőfokú ítélet 3. oldal 3. bekezdés 1. mondata cáfolja. Eszerint:
„A vádlott az informatikai ismereteit felhasználva kísérelt meg internetszolgáltatást biztosítani a maga részére…”
2./ „A közlemény azt sugallja, hogy állás reményében kereste meg a vállalatot – noha az ítéletben is szerepel, hogy a Telekom munkatársai ajánlottak munkát a fiatal informatikusnak, ő nem ezzel a céllal hozta a cég tudomására a rendszer hiányosságait.”
A TASZ fenti állítását a jogerős elsőfokú ítélet 3. oldal 5. bekezdése cáfolja. Eszerint:
„A vádlott bízott abban, hogy amennyiben a sértett előtt feltárja a rendszer sérülékenységét, úgy a sértetti cég alkalmazni fogja programozói munkakörben. Ennek érdekében először 2017. április 9. napján e-mailben álnéven felvette a kapcsolatot sértettel, majd 2017. április 10. napján Budapesten, a sértett székházában személyesen előadta az általa tapasztaltakat, továbbá olyan ajánlatot tett, hogy havi 700.000-800.000,- Ft-os fizetésért alkalmazottja lenne a sértetti cégnek.”
3./ „Félrevezető az is, hogy a közlemény „félszáz” jogosulatlan belépést emleget: a valóságban egy nagyságrenddel kevesebb alkalommal lépett be a rendszerbe a hacker, mert egy-egy hozzáférés alkalmával több belépés kerül naplózásra.”
A TASZ fenti állítását a jogerős elsőfokú ítélet 3. oldal 6. bekezdése cáfolja. Eszerint:
„A vádlott 2017. április 12. és 2017. május 2. között Szolnokon és Rákóczifalván az internet felhasználásával a sértett rendszergazdai jogosultsággal rendelkező munkatársának felhasználó nevét és jelszavát – a fentiek szerinti módon – megszerezve és felhasználva, 62 alkalommal jogosulatlanul belépett a sértett üzemeltetésében lévő, a sértett dolgozóinak authentikációs feladatait ellátó LDAP szerverre, ahol a saját részére jogosulatlanul felhasználói profilokat hozott létre, valamint a sértett dolgozóinak belépési adatait, felhasználóneveit és jelszavait logolta, gyűjtötte.”
4./ „A sugalltakkal szemben fel sem merült, hogy a fiatal programozó „átvegye az irányítást” a Telekom teljes rendszere felett, és annak „internet szolgáltatásait blokkolja”. Első dolga volt felvenni a kapcsolatot a Telekom biztonsági főnökével és beosztottjaival, akiknek részletesen feltárta a megtalált hibákat. Durva csúsztatás tehát arra célozgatni, hogy át is vehette volna az irányítást a rendszer felett, hiszen erre semmilyen szándéka nem volt. Védeni akarta az informatikai rendszert, ezért bőven azelőtt megállt és jelezte a hibát, hogy abban igazán mélyre jutott volna.”
A TASZ fenti állítását a jogerős elsőfokú ítélet 3. oldal 7. bekezdése cáfolja. Eszerint:
„A vádlott által az LDAP szerveren jogosulatlanul létrehozott felhasználói profilok teljes körű hozzáférést biztosítottak a rendszerhez, ezáltal a vádlottnak lehetősége nyílt a sértett ügyfeleinek mobil és rögzített telepítésű telefon és internet szolgáltatásainak blokkolására, illetve a rendszer fellett teljes vezérlés átvételére.”
Szemben a TASZ azon állításával, mely szerint a törvényszék közleménye nem említette, hogy a szakértői vélemény alapján a közérdekű üzemet a vádlott tevékenysége nem érintette, ez a közlemény 8. bekezdés 2. mondatából egyértelműen kiderül. Eszerint:
„A beszerzett szakértői vélemény alapján, amely cáfolta, hogy a „feltört” szerver közérdekű üzem lenne, a vádtól eltérően, a bűncselekmény 3 évig terjedő szabadságvesztéssel büntetendő alapesetében, és nem a lényegesen súlyosabban minősülő minősített esetében mondta ki bűnösnek a büntetlen előéletű férfit…”
Végezetül, egy sajtóközlemény, annak terjedelmi korlátai miatt csak az ügy, illetőleg a bírósági döntés legfontosabb körülményeinek bemutatására szorítkozhat, aminek a fenti ügyben kiadott közlemény eleget tett.
A bírósági sajtóközlemény nem fogalmazott meg „állításokat”, sem „sugalmazásokat”, nem tartalmazott „célozgatásokat”, illetve „csúsztatásokat”, hanem tényszerűen és objektíven tájékoztatta a sajtószerveket és a közvéleményt egy jogerős bírósági döntés tartalmáról.
a Szolnoki Törvényszék Sajtóosztálya
Kapcsolódó cikkek
- Kormányzati szervtől kapott kibervédelmi megbízást a QUADRON Bahreinben
- Mobilalkalmazással segíti az újságírókat a TASZ
- IT security üzletágat indít az OTT-ONE
- Kilenc uniós országban indul kampány az online reklámiparban alkalmazott törvényellenes módszerek ügyében
- A Dell Technologies Unified Workspace forradalmasítja a munkamódszereket
- Itt a megoldás az IT-biztonsági szakemberhiányra
- Mitől etikus egy hekker?
- Mozgásban, megállás nélkül: a „nonstop IT” öt alapköve
- Legalább 40 iskolába jut el a MONDO jogtudatosító program
- Az YK2-höz hasonló krízishelyzetet is okozhat a nyári-téli időszámítás eltörlése?
E-világ ROVAT TOVÁBBI HÍREI
Podcastok forradalma: Így lesz 2025-re Magyarországon is a marketing egyik leghatékonyabb eszköze a „tévés rádióműsor”
A márkák és mikrofonok találkozása évek óta az egyik legdinamikusabban fejlődő marketing terület. Iparági becslések szerint csak az Egyesült Államokban 135 millió ember hallgat havonta legalább egy podcastot, de az online műsortípus hazánkban is kétévente duplázza a népszerűségét. Most nagyjából 1,5 millió magyar, azaz a netezők 20 százaléka követ valamilyen podcastot rendszeresen. Közülük egyre többen nézik is azokat! Az AllSet Media január 21-én publikált „Magyarországi social media előrejelzés 2025” jelentésében a saját adataira alapozva úgy becsüli: idén akár 30-40 százalékkal is nőhet a videó alapú céges kommunikáció.
AI Act megfelelőség – A vélt versenyelőnyből súlyos bírság lehet, ha nem tartjuk be a szabályokat
Az AI-technológiák jelentős előnyöket kínálnak a vállalatok számára, ugyanakkor helytelen használatuk súlyos következményekkel is járhat. Az Európai Unió mesterséges intelligencia rendelete alapján 2025. február 2-tól akár 35 millió eurós vagy az éves globális árbevételük 7 százalékának megfelelő bírságot jelenthet a tiltott AI-tevékenységet végző vállalatok számára. A szabályozásnak való megfelelés védelmet nyújt a bírságokkal és reputációs károkkal szemben.
K&H gyorshívás: havi 24 ezer hívást indítanak az ügyfelek a bank appján keresztül, már több mint 7 éve
A K&H ügyfelei havonta több mint 24 ezer hívást kezdeményeznek a bank mobilalkalmazásán keresztül. A pénzintézet ügyfelei 2018 szeptembere óta élhetnek ezzel a biztonságos ügyintézési lehetőséggel, amelynek során az ügyfélszolgálattal való beszélgetéshez semmilyen azonosító sem szükséges.
Szigor vagy rugalmasság: mi kell a sikeres digitalizációhoz?
Rövid távon a feladatfókuszú vezetés, hosszú távon a kapcsolatorientáltság növelheti a digitalizációban fejlődni kívánó szervezetek üzleti teljesítményét – állapítja meg a Budapesti Corvinus Egyetem kutatócsoportjának friss tanulmánya.