Segítő szándékú volt, mégis elítélték az „etikus hackert”, a TASZ fellebbez

Sikerrel védte meg a legsúlyosabb büntetéstől a Társaság a Szabadságjogokért (TASZ) azt a „segítő szándékú” hackert, aki biztonsági rést talált a Magyar Telekom informatikai rendszerében, figyelmeztette is őket, utóbb mégis feljelentették. Bár az ügyészség már börtönnel fenyegette, végül a bíróság csak pénzbírságot szabott ki rá. A TASZ nem ért egyet az ítélettel: a bíróság nem ismerte fel, hogy a köz érdekében végzett hackelés nem veszélyes a társadalomra, így büntetés sem jár érte. A jogvédő szervezet továbbra is jogi segítséget ajánl az etikus hackereknek. A TASZ védence még 2017 tavaszán figyelt fel egy szokatlan ip-címre a Magyar Telekom egy nyilvános, interneten elérhető felhasználói útmutatójában. Az akkor főiskolás programozó a címet megvizsgálva rájött, hogy azon keresztül lehetséges rendszergazdai jelszóhoz jutni, ami hozzáférést enged a vállalat belső informatikai rendszeréhez. A TASZ ügyfele azonnal jelezte a hibát a Magyar Telekomnak, sőt egy személyes találkozón rövid elemzésben fel is vázolta a cég kiberbiztonsági szakembereinek, hogy milyen hibákat tárt fel, és hogy milyenek lehetnek még a rendszerben – felhasználói adatok ezreit mentve meg ezzel.

A Telekom szakértői annyira elégedettek voltak a munkájával, hogy még az alkalmazása is szóba került, a TASZ ügyfele ezért úgy döntött, hogy hazatérve folytatja a további hibakutatást – amíg egy reggel meg nem jelent nála a rendőrség, hogy előállítsák és gyanúsítottként hallgassák ki Budapesten a távközlési társaság információs rendszerének feltöréséért. A cég szakemberei a tárgyalás során megerősítették, hogy komolyan gondolkodtak az etikus hacker alkalmazásán, akit tehetségesnek és felkészültnek tartanak. Az ügyészség mégis súlyos bűncselekményként kezelte a történteket: az etikus hackert előzetes letartóztatásba akarták helyezni, majd egy alku keretében két év szabadságvesztést ajánlottak neki négy évre felfüggesztve, ha hajlandó bűnösnek vallani magát. Ellenkező esetben letöltendő börtönt kértek volna rá. A bíróság ítéletében 600 ezer forint pénzbüntetés megfizetésére kötelezte a hackert. (Csak a példa kedvéért: ha hazaérve a lakásunk ajtajánál egy szimpatikus fiatalember kulcsokat próbálgatna az ajtónk zárjában, és érdeklődésünkre biztosítana róla, hogy ő csupán segítő szándékkal teszteli a zárunk biztonságosságát, megköszönnénk neki, vagy rendőrt hívnánk? És ha másnap is ott buzgólkodna az ajtónkon? A -szerk- megj.)

A Magyar Telekom szerint a hacker – az etikus hackelés kereteit több szempontból jelentősen túllépve – az első sérülékenység felfedezése után, a vállalat kifejezett kérése ellenére, számos alkalommal újabb támadásokat indított. Az addig megszerzett adatok segítségével pedig további rendszerek feltörésébe kezdett, és további jogosultságok megszerzésére tett lépéseket. A Magyar Telekom közleménye szerint az észlelt sérülékenységet anyagi haszonszerzés céljára is próbálta felhasználni.