1-re zuhant a BKK értékelése a hekkerbotrány miatt

Access to the comments Kommentek
Írta: Gábor Ács
1-re zuhant a BKK értékelése a hekkerbotrány miatt

<p><strong>1 egész nulla tizedre zuhant vissza péntek délután a <span class="caps">BKK</span> oldalának értékelése a Facebookon.</strong> Egy nap alatt több mint 10 ezer ember adta a legrosszabb értékelést (egy csillagot) a Budapesti Közlekedési Központnak azt követően, hogy a rendőrség őrizetbe vette azt a magát jóindulatúnak mondó hekkert, aki behatolásával feltárta és jelezte az e-jegyrendszeren a biztonsági rést.</p> <p><strong>Az előzmények:</strong></p> <p>A 18 éves fiatal kétszázszor olcsóbban, mindössze 50 forintért vásárolt magának bérletet, hogy bizonyítsa: bármennyiért vásárolhatnak maguknak bérletet azok, akik bűncselekményt elkövetve akarják kihasználni az e-jegyrendszer hibáit.</p> <p>Ezzel a fiatal hekker maga is szürke zónába tévedt, és azzal bizonyítja, hogy nem akart visszaélést elkövetni, hogy jelezte a biztonság kijátszhatóságát, továbbá messze lakik a fővárostól, így nem is használhatta volna a bérletet napi utazásra.</p> <p>A sajtóban megjelent információk szerint a <span class="caps">BKK</span> e-jegyrendszerét üzemeltető T-Systems feljelentést tett a 18 éves vidéki fiatal ellen, akit éjszaka vittek el a rendőrök kihallgatásra. A szeptember közepéig tartó nyomozás érdekeire hivtakozva a Rendőrség nem közölt részleteket, de úgy tudni, hogy szabadlábon védekezhet az érintett személy.</p> <p>A témában megjelent cikkek kommentjeiben és a <span class="caps">BKK</span> közösségi oldalán tömegével olvasni a felháborodott hozzászólásokat, vihar erejű harag zúdul a Budapest Közlekedési Központra annak maradi szemlélete miatt, a T-Systemre a feljelentés miatt, a hatóságokra pedig azért, mert hajlandóak voltak így eljárni az ügyben.</p> <p><strong>Néhány a péntek délutáni bejegyzések közül a <span class="caps">BKK</span> Fb-oldaláról:</strong></p> <p><em>“2016-ban 10000 $- kapott az a fiatal, aki az Instagram bug-ot fedezte fel. Csak a mihez tartás végett…”</em> (O. Ildikó)</p> <p><em>“IT-s létemre gyűlölöm és undorítónak tartom, hogy ennyire felelőtlenül lett egy rendszer megépítve, és akkor ez mennyibe került?”</em> (H. Viktor)</p> <p><em>“A vilagban sok-sok penzt fizetnek azoknak a “kibertámadóknak”,akik a biztonsági réseket fedeznek fel egy-egy rendszerben. Kommunista tempó,ami itt,ennek kapcsán zajlik. Gyomorforgató! A shop arculata, a széteső piktogramjai, betűtípusa az internet kezdeti korszakát idézi,de ez már csak hab a tortán.”</em> (L. Roland)</p> <p><em>“Az IT-vezetőjüket, a fejlesztésért felelős egyéneket mikor viszi be a rendőrség éjjel?”</em> (B. László)</p> <p><em>“Értetlenül állok a cég vezetésének végtelenül ostoba és pökhendi viselkedése előtt. Ha egy 18 éves diák, az url-címet átírva képes a jegy árát módosítani, az azt jelenti, hogy tényszerűen rossz szolgáltatást rendeltek meg / üzemeltetnek (jó pénzért). Ilyenkor a <span class="caps">BKK</span>-nak kéne a T-Systems-szel szerződést bontania, kártérítést követelnie… és talán nem túlzás, de a <span class="caps">BKK</span>-nak is ellenőriznie kellett volna a rendszert, mielőtt azt kipróbálja az utasokon.”</em> (R. Péter)</p> <p><em>“Komcsi tempó, erkölcsi nulla vezetők. Mondjatok le!”</em> (V. Gábor)</p> <p><em>“Pedig nekem már pont bejöttek a “nálunk te kormányozhatsz” álláshirdetések”</em> (M. Felícia)</p> <p><em>“Elektromos kapu programmal mi lett időközben?”</em> (H. Vince)</p> <p><strong>Péntek délután kérdéseinkkel megkerestük a <span class="caps">BKK</span> és a T-Systems sajtóosztályát</strong></p> <p>A történtek pontos ismertetésén túl arra kértük a két céget, hogy reagáljon a rengeteg észrevételre a megélénkült vitában. Így fontos kérdés, hogy jóindulatú hekkerként vagy bűnözőként tekintenek-e az e-jegyrendszer biztonsági rését feltöréssel bizonyító fiatalra, illetve mit szólnak a cégek azokhoz a kommentekhez, miszerint köszönet és elismerés illeti a jóindulatú hekkereket büntetés helyett. Amint választ kapunk, frissítjük a cikket.</p> <p><strong>FRISSÍTÉS:</strong> *Hétfő délután válaszolt a <span class="caps">BKK</span>: <em>“Mivel az ügyben nem a <span class="caps">BKK</span> Zrt., hanem a rendszert üzemeltető T-Systems Magyarország Zrt. tett feljelentést, kérjük, hogy a témában forduljanak a T-Systems Magyarország Zrt.-hez.”</em></p> <p><strong>Hubert Csaba információbiztonsági szakértő, kibernyomozó szerint a közérdek fontosságát is vizsgálni kell az ügyben:</strong></p> <p>- Az ügy több fontos és érdekes kérdést vet fel, melyet érdemes tisztázni annak érdekében, hogy pontosan lássuk a helyzetet és a jövőbeni megoldási lehetőségeket. Jelenleg a hatályos Btk. 423. §-a nevesíti az „Információs rendszer vagy adat megsértése” bűntett tényállását és büntetési mértékét. A törvény egyértelműen kimondja, hogy „információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.” – mondja a jogi szabályozásról a szakértő.</p> <p><strong>Kik az etikus hekkerek?</strong></p> <p>- A szakmában etikus hackernek hívjuk azokat a szakembereket, akik a megrendelő felkérésére és hozzájárulásával, ellenőrzött, dokumentált körülmények között végzik el a rendszerek sérülékenység vizsgálatát. Ebben az esetben nem is kérdéses tehát, hogy a fiatal fiú törvényt sértett e vagy sem, ugyan is a hibát engedély hiányában, jogosulatlanul derítette fel és használta ki, arról csak utólagosan értesítette a <span class="caps">BKK</span>-t és ráadásul nyilvánosságra is hozta a problémát, ami a cégre nézve további súlyos károkat eredményezhetett. Ez a cselekedet tehát egyáltalán nem volt etikus, ráadásul a kivitelezéséhez sem szükséges komolyabb szakmai tudás. A rendszert üzemeltető T-Systems tehát jogosan, a törvényeket betartva és a cég érdekeit szem előtt tartva járt el és a rendőrség ennek megfelelően megalapozottan indított nyomozást az ügyben. A jogi szempontból való vizsgálat ezzel le is tudható – véli Hubert Csaba.</p> <p><strong>Miért háborodtak fel ilyen sokan, és tartják jószándékú hekkernek a <span class="caps">BKK</span> e-jegyrendszerét feltörő fiatalt?</strong></p> <p>- Érdemes vizsgálni a társadalmi, erkölcsi, morális kérdéseket is, illetve a közérdek fontosságát. Sajnos hazánkban jelenleg nem terjedt még el az a rendszer, amit külföldön már előszeretettel alkalmaznak, mely szerint a cégek úgynevezett „Bug Bounty” program keretében a feltárt hibákért cserébe pénzt fizetnek a hackereknek. További megoldásként általában a hacker jelzi a cégnek a feltárt sérülékenységeket és megjelöl egy ésszerű határidőt, mely letelte után ha nem kerül javításra, nyilvánosságra hozza azt. Ez egy rendkívül erős motiváló tényező a cégek számára, hiszen nekik nagyon kellemetlen lehet egy komolyabb hiba nyilvánosságra hozatala. Véleményem szerint egy ilyen rendszer bevezetése fontos lenne – hangsúlyozza az információbiztonsági szakértő.</p>