Az ügy előzménye, hogy egy vidéki főiskolán tanuló programozó tavaly áprilisban a Telekom weboldalát böngészve rátalált egy súlyos biztonsági hibára, amin keresztül be lehetett lépni a távközlési cég belső hálózatába.
A hibáról értesítette a Telekomot, előbbi cég pedig beszélgetni hívták a fiút Budapestre. András részletesen emlagyarázta a hibát, de a vállalat alkalmazottai részéről nem érezte úgy, hogy helyén kezelnék a problémát. A megbeszéléseken (személyesen is és emailen is) a cég arról is tárgyalt Andrással, hogy dolgozzon a Telekomnak és keressen további hibákat a rendszerben.
A tárgyalások megakadtak, de a programozó tovább kutakodott, melynek során egy újabb, még súlyosabb biztonsági rést talált, amivel a teljes állami és lakossági mobil- és adatforgalomhoz hozzá lehetett férni. Ezt azonban kiszúrták a Telekom emberei is, amit András is észrevett, így ezután felhagyott a teszteléssel. A Telekom viszont feljelentést tett az akciója miatt, három hét múlva pedig meg is jelentek nála a rendőrök - emlékeztet a TASZ.
A civil szervezet látja el András jogi képviseletét, és most azt írják, hogy az ügyészség "minősíthetetlen ügyészi munka" révén börtönbe küldené azt a fiút, aki egy olyan súlyos problémára mutatott rá, amelyen keresztül akár az összes felhasználó adatait megszerezhették volna. Az ügyészség ugyanis egy olyan alkut ajánlott Andrásnak, mely szerint ha beismeri bűnösségét, akkor csak 2 év felfüggesztett börtönt kap, ha viszont nem él ezzel a lehetőséggel, akkor 5 év letöltendőt fognak kiszabni rá. Mindezt úgy, hogy a TASZ szerint a bíróság még semmilyen bizonyítékot nem látott.
Az ügyészség az ügyben azzal érvel, hogy
nem vagyunk informatikusok, de a médiából tudjuk, hogy ha valaki számítástechnikai eszköz és internetkapcsolat birtokában megfelelő szaktudással rendelkezik, akkor ezeket a digitális lábnyomokat, amiket hagy, azokat el is tudja tüntetni.
Ezzel a TASZ szerint csak annyi a probléma, hogy az ügyésznek - ha nem ért az informatikához - kötelessége lenne szakértőt felkérnie, amit az eljárás ideje alatt eddig még nem tett meg. (A TASZ megjegyzi, hogy szerencsére ez az érvelés a bíróságon sem állta meg a helyét, ezért az előzetest el is vetették.)
Az ügyészség ezután súlyosbította a vádat, arra hivatkozva, hogy a bűncselekményt úgynevezett "közérdekű üzem" megzavarásával követték el, így a vádlottat már 8 évig terjedő szabadságvesztéssel fenyegeti. A TASZ szerint azonban semmi sem támasztja alá ezt az érvelést, sőt, a Telekom az ügyről korábban hírt adó Indexnek is cáfolta, mondván, András "támadása nem érintette azokat a távközlési hálózatokat, amelyeken az ügyfelek kommunikáltak."
Az ügyészség azt sem vizsgálta a TASZ szerint, hogy a figyelmeztetés a súlyos hibára közérdekű bejelentésnek minősül-e. Márpedig a közérdekű bejelentőket kifejezetten védelmezi a jogszabály és ezen az alapon meg is kellene szüntetni a büntetőeljárást.
A Telekom esetében nem András az egyetlen etikus hacker, akit a cég feljelentett: egy 18 éves fiút a T-Systems például azért jelentett fel, mert észrevett a BKK rendszerében egy szintén súlyos hibát. Ez az ügy azoban már a rendőrségen elakadt és megszüntették ellene az eljárást.
Ezt mondja a Telekom
A TASZ bejegyzésére a Magyar Telekom is reagált lapunknak. A vállalat a fenti üggyel kapcsolatban közölte, hogy a Magyar Telekomnál nagyon komoly belső rendszerek, folyamatok biztosítják azt, hogy a támadásokat megelőzzék, kivédjék. Továbbá kiemelik, hogy rendszereiket folyamatosan monitorozzák, hogy szükség esetén azonnal megtehessék a szükséges intézkedéseket.
Amennyiben a Magyar Telekom Csoport valamely rendszerén valaki hibát talál, és ezt a Telekomnak haladéktalanul jelzi, valamint semmilyen módon nem él vissza ezzel (például nem módosít, nem töröl, nem ment ki információt stb.), együttműködik a Telekom saját vizsgálatával, és nem publikálja a hibát (ezzel veszélyeztetve a rendszert), akkor a Telekom nem tesz feljelentést ellene.
Amennyiben a támadó nem jelentkezik azonnal önként, ezzel jóhiszeműségét igazolva, és az észlelt támadás átlép egy szintet, vagyis a támadás meghaladja az etikus hackelés kereteit, akkor a szolgáltató - ügyfelei, rendszerei, és a szolgáltatások folyamatos biztosítása érdekében - feljelentés megtételéről dönthet - hangsúlyozza a Telekom, hozzátéve, hogy a bejelentett vagy felderített hibákat azonnal javítják, és folyamatosan intézkedéseket tesznek a biztonság növelése, és az ügyfeleik védelme érdekében.
A vállalat a TASZ által említett esetben ismeretlen tettes ellen tett fejelentést, mert a cég megítélése szerint
A Telekom továbbá hangsúlyozza: a támadás ügyfelek személyes adatait nem érintette, azok teljes biztonságban voltak és vannak. A támadása nem érintette azokat a távközlési hálózatokat sem, amelyeken az ügyfelek kommunikálnak. A hacker által feltárt hiányosságokat a cég haladéktalanul kijavította, megszüntette.