rendkívüli hír

Éppen ezt olvassa:

1-re zuhant a BKK értékelése a hekkerbotrány miatt


Magyarország

1-re zuhant a BKK értékelése a hekkerbotrány miatt

1 egész nulla tizedre zuhant vissza péntek délután a BKK oldalának értékelése a Facebookon. Egy nap alatt több mint 10 ezer ember adta a legrosszabb értékelést (egy csillagot) a Budapesti Közlekedési Központnak azt követően, hogy a rendőrség őrizetbe vette azt a magát jóindulatúnak mondó hekkert, aki behatolásával feltárta és jelezte az e-jegyrendszeren a biztonsági rést.

Az előzmények:

A 18 éves fiatal kétszázszor olcsóbban, mindössze 50 forintért vásárolt magának bérletet, hogy bizonyítsa: bármennyiért vásárolhatnak maguknak bérletet azok, akik bűncselekményt elkövetve akarják kihasználni az e-jegyrendszer hibáit.

Ezzel a fiatal hekker maga is szürke zónába tévedt, és azzal bizonyítja, hogy nem akart visszaélést elkövetni, hogy jelezte a biztonság kijátszhatóságát, továbbá messze lakik a fővárostól, így nem is használhatta volna a bérletet napi utazásra.

A sajtóban megjelent információk szerint a BKK e-jegyrendszerét üzemeltető T-Systems feljelentést tett a 18 éves vidéki fiatal ellen, akit éjszaka vittek el a rendőrök kihallgatásra. A szeptember közepéig tartó nyomozás érdekeire hivtakozva a Rendőrség nem közölt részleteket, de úgy tudni, hogy szabadlábon védekezhet az érintett személy.

A témában megjelent cikkek kommentjeiben és a BKK közösségi oldalán tömegével olvasni a felháborodott hozzászólásokat, vihar erejű harag zúdul a Budapest Közlekedési Központra annak maradi szemlélete miatt, a T-Systemre a feljelentés miatt, a hatóságokra pedig azért, mert hajlandóak voltak így eljárni az ügyben.

Néhány a péntek délutáni bejegyzések közül a BKK Fb-oldaláról:

“2016-ban 10000 $- kapott az a fiatal, aki az Instagram bug-ot fedezte fel. Csak a mihez tartás végett…” (O. Ildikó)

“IT-s létemre gyűlölöm és undorítónak tartom, hogy ennyire felelőtlenül lett egy rendszer megépítve, és akkor ez mennyibe került?” (H. Viktor)

“A vilagban sok-sok penzt fizetnek azoknak a “kibertámadóknak”,akik a biztonsági réseket fedeznek fel egy-egy rendszerben. Kommunista tempó,ami itt,ennek kapcsán zajlik. Gyomorforgató! A shop arculata, a széteső piktogramjai, betűtípusa az internet kezdeti korszakát idézi,de ez már csak hab a tortán.” (L. Roland)

“Az IT-vezetőjüket, a fejlesztésért felelős egyéneket mikor viszi be a rendőrség éjjel?” (B. László)

“Értetlenül állok a cég vezetésének végtelenül ostoba és pökhendi viselkedése előtt. Ha egy 18 éves diák, az url-címet átírva képes a jegy árát módosítani, az azt jelenti, hogy tényszerűen rossz szolgáltatást rendeltek meg / üzemeltetnek (jó pénzért). Ilyenkor a BKK-nak kéne a T-Systems-szel szerződést bontania, kártérítést követelnie… és talán nem túlzás, de a BKK-nak is ellenőriznie kellett volna a rendszert, mielőtt azt kipróbálja az utasokon.” (R. Péter)

“Komcsi tempó, erkölcsi nulla vezetők. Mondjatok le!” (V. Gábor)

“Pedig nekem már pont bejöttek a “nálunk te kormányozhatsz” álláshirdetések” (M. Felícia)

“Elektromos kapu programmal mi lett időközben?” (H. Vince)

Péntek délután kérdéseinkkel megkerestük a BKK és a T-Systems sajtóosztályát

A történtek pontos ismertetésén túl arra kértük a két céget, hogy reagáljon a rengeteg észrevételre a megélénkült vitában. Így fontos kérdés, hogy jóindulatú hekkerként vagy bűnözőként tekintenek-e az e-jegyrendszer biztonsági rését feltöréssel bizonyító fiatalra, illetve mit szólnak a cégek azokhoz a kommentekhez, miszerint köszönet és elismerés illeti a jóindulatú hekkereket büntetés helyett. Amint választ kapunk, frissítjük a cikket.

FRISSÍTÉS: *Hétfő délután válaszolt a BKK: “Mivel az ügyben nem a BKK Zrt., hanem a rendszert üzemeltető T-Systems Magyarország Zrt. tett feljelentést, kérjük, hogy a témában forduljanak a T-Systems Magyarország Zrt.-hez.”

Hubert Csaba információbiztonsági szakértő, kibernyomozó szerint a közérdek fontosságát is vizsgálni kell az ügyben:

- Az ügy több fontos és érdekes kérdést vet fel, melyet érdemes tisztázni annak érdekében, hogy pontosan lássuk a helyzetet és a jövőbeni megoldási lehetőségeket. Jelenleg a hatályos Btk. 423. §-a nevesíti az „Információs rendszer vagy adat megsértése” bűntett tényállását és büntetési mértékét. A törvény egyértelműen kimondja, hogy „információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.” – mondja a jogi szabályozásról a szakértő.

Kik az etikus hekkerek?

- A szakmában etikus hackernek hívjuk azokat a szakembereket, akik a megrendelő felkérésére és hozzájárulásával, ellenőrzött, dokumentált körülmények között végzik el a rendszerek sérülékenység vizsgálatát. Ebben az esetben nem is kérdéses tehát, hogy a fiatal fiú törvényt sértett e vagy sem, ugyan is a hibát engedély hiányában, jogosulatlanul derítette fel és használta ki, arról csak utólagosan értesítette a BKK-t és ráadásul nyilvánosságra is hozta a problémát, ami a cégre nézve további súlyos károkat eredményezhetett. Ez a cselekedet tehát egyáltalán nem volt etikus, ráadásul a kivitelezéséhez sem szükséges komolyabb szakmai tudás. A rendszert üzemeltető T-Systems tehát jogosan, a törvényeket betartva és a cég érdekeit szem előtt tartva járt el és a rendőrség ennek megfelelően megalapozottan indított nyomozást az ügyben. A jogi szempontból való vizsgálat ezzel le is tudható – véli Hubert Csaba.

Miért háborodtak fel ilyen sokan, és tartják jószándékú hekkernek a BKK e-jegyrendszerét feltörő fiatalt?

- Érdemes vizsgálni a társadalmi, erkölcsi, morális kérdéseket is, illetve a közérdek fontosságát. Sajnos hazánkban jelenleg nem terjedt még el az a rendszer, amit külföldön már előszeretettel alkalmaznak, mely szerint a cégek úgynevezett „Bug Bounty” program keretében a feltárt hibákért cserébe pénzt fizetnek a hackereknek. További megoldásként általában a hacker jelzi a cégnek a feltárt sérülékenységeket és megjelöl egy ésszerű határidőt, mely letelte után ha nem kerül javításra, nyilvánosságra hozza azt. Ez egy rendkívül erős motiváló tényező a cégek számára, hiszen nekik nagyon kellemetlen lehet egy komolyabb hiba nyilvánosságra hozatala. Véleményem szerint egy ilyen rendszer bevezetése fontos lenne – hangsúlyozza az információbiztonsági szakértő.