Index Vakbarát Hírportál

Jogerősen elítélték a Telekomot meghekkelő főiskolást

2019. december 6., péntek 14:50

Jogerős ítélettel zárult a szolnoki etikus hekker ügye, derül ki a Szolnoki Törvényszék péntek délutáni közleményéből. Mint arról korábban beszámoltunk, a vádlott 2017 tavaszán biztonsági rést talált a Magyar Telekom internetes rendszerében. Az akkor főiskolás programozó egy szokatlan IP-címet talált egy nyilvános, interneten elérhető telekomos felhasználói útmutatóban. Az internetes címet megvizsgálva rájött, hogy azon keresztül rendszergazdai jelszóhoz tud jutni, ami hozzáférést enged a vállalat belső informatikai rendszeréhez.

A fiatalember jelezte a hibát a Telekomnak, többször is egyeztetve a cég szakembereivel. Később a Telekom feljelentést tett ellene az cég információs rendszerének feltörése miatt, nem sokkal később elő is állították, az ügyészség pedig közérdekű üzem elleni súlyos bűncselekményként kezelte a történteket és több év letöltendő börtönt kért rá. (Az eset egyébként nem sokkal azután került nyilvánosságra, hogy egy másik fiatal a Telekom leányvállalata, a T-Systems által fejlesztett BKK-s e-jegy-rendszerbe behatolt, kihasználva a súlyos biztonsági hiányosságokat.)

A magát etikus hekkernek tartó programozó védelmét a Társaság a Szabadságjogokért (TASZ) vállalta, azzal, hogy a vádlott a köz érdekében, jószándéktól vezérelve tárt fel egy komoly biztonsági hibát, és nem követett el olyan bűncselekményt, ami veszélyes lenne a társadalomra. Ezzel szemben a Magyar Telekom azt állította, hogy a fiatalember az etikus hackelés kereteit jelentősen túllépve, az első sérülékenység felfedezése után újabb támadásokat indított, "az addig megszerzett adatok segítségével további rendszerek feltörésébe kezdett, és további jogosultságok megszerzésére tett lépéseket, részben haszonszerzés céljából is".

Végül a bíróság első fokon 600 ezer forintos pénzbüntetést szabott ki a vádlottra. Az ügyész súlyosításért, a vádlott és védője elsődlegesen felmentésért, másodsorban enyhítésért fellebbezett, így az ügy másodfokon folytatódott.

A Szolnoki Törvényszék 2019. december 6-án jogerősen lezárta az ügyet, helyben hagyva az első fokon eljáró Szolnoki Járásbíróság 2019. július 10-i ítéletét. A huszonéves vádlott tehát "folytatólagosan elkövetett információs rendszer vagy adat megsértése bűntett" miatt 600 000 Ft pénzbüntetést kell fizessen.

A bíróság által megállapított tényállás a következő:

A fiatalember, amikor 2017 tavaszán a mobilinternete elfogyott, elhatározta, hogy informatikai ismereteit felhasználva, jogosulatlanul megpróbál mobilinternet-szolgáltatást biztosítani magának. Ennek során egy biztonsági résre bukkant, amin keresztül belépett a cég belső szerverére és több alkalmazott felhasználói nevét és jelszavát megszerezte.

Bízott abban, hogyha feltárja a rendszer sérülékenységét, a cég programozóként fogja alkalmazni, ezért 2017. április 9-én előbb álnéven, emailben, majd másnap, 2017. április 10-én a cég fővárosi központjában, személyesen is a vállalat tudomására hozta, hogy mit tapasztalt és ajánlatott tett, hogy havi 700-800.000 Ft fizetéséért az alkalmazottjuk lenne.

A cég illetékesei jelezték, hogy az általa kért munkabér eltúlzott, felhívták a figyelmét arra, hogy amit tett, törvénybe ütközik és felszólították, hogy ne folytassa tovább illegális tevékenységét.

A vádlott azonban nem tágított. Az elkövetkező csaknem három hétben több mint félszázszor lépett be jogosulatlanul a cég szerverére, ahol jogosulatlanul a vállalat dolgozóinak belépési adatait, felhasználó neveit és jelszavait gyűjtötte, majd ennél is tovább ment: saját felhasználói profilokat hozott létre magának, melyekkel lehetősége nyílt arra, hogy a cég ügyfeleinek mobil és rögzített telefon, valamint internet szolgáltatásait blokkolja és átvegye a rendszer feletti teljes irányítást.

A Szolnoki Törvényszék közleménye felidézi, hogy a Büntető Törvénykönyv rendelkezései szerint információs rendszer vagy adat megsértésének bűntettét az követi el, aki "információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat". A törvény szerint ezt a bűncselekményt 3 évig terjedő szabadságvesztéssel lehet büntetni, azonban lényegesen súlyosabb, 2 évtől 8 évig terjedő szabadságvesztést lehet kiszabni, ha közérdekű üzem ellen követik el azt.

A törvényszék szerint a Szolnoki Járásbíróság a beszerzett szakértői vélemény alapján helyesen állapította meg, hogy az etikus hekker esetében a „feltört” szerver nem volt közérdekű üzem, így a vádtól eltérően nincs szükség súlyos, akár 8 évig terjedő szabadságvesztés kiszabására, elegendő a büntetlen előéletű férfira pénzbüntetést róni.

Rovatok