Felmentették a gyanú alól az etikus hackert, akit a T-Systems feljelentett ahelyett, hogy megjutalmazta volna

Semmivel nem gyanúsítja többé az ügyészség azt a 18 éves fiút, aki júliusban leleplezte a BKK online jegyvásárlási rendszerében rejlő biztonsági rést, és bár ezt azonnal jelezte a cégnek, ahelyett, hogy megjutalmazták volna, feljelentették – derül ki abból a bejegyzésből, amelyet maga az érintett írt a Facebookon. Az „etikus hacker” néven ismert fiú egy hibát kihasználva tízezer helyett mindössze 50 forintért tudott megvásárolni egy havi bérletet július 14-én a T-Systems által készített rendszerben. Erről két perccel később írt egy e-mailt a BKK-nak, de választ nem kapott, a nyugati IT-cégek gyakorlatától eltérően – ők többnyire jutalmat adnak egy-egy etikus hackernek a biztonsági rések feltárásáért – a cég inkább jogi útra terelte az ügyet, a fiút pedig július 21-én a rendőrségen kihallgatták és információs rendszer vagy adat megsértése bűntett minősített esete miatt nyomozni kezdtek ellen. Ha ebben bűnösnek találják, akár nyolc évet is kaphatott volna. A hiba, amelyet felfedezett, meglehetősen amatőr volt, kiderült ugyanis, hogy két-három kattintás után, kosárba tételkor át lehet írni a termék árát.

Fotó: Kökényesi Gábor

Jó szándéka jeléül az e-mailjében a fiú azt is megírta, hogy nyilván nem fogja felhasználni az 50 forintért megvásárolt bérletet, nem utolsósorban azért, mert nem Budapesten él. Később az RTL Klub Híradójának azt is elmondta, hogy korábban már más állami cég figyelmét is felhívta hasonló hibára, de akkor megköszönték neki az észrevételt. Hozzátette, etikus hackernek nevezni is túlzás, semmilyen, a témát érintő képzettsége nincs, hobbiszinten foglalkozik honlapokkal. „Az én célom az volt, hogy jobbá tegyék a szolgáltatást és javítsák a hibákat, nehogy valaki kihasználja ezt, és féláron kezdjen bérletet árulni a saját hasznára” – magyarázta a szándékait.

A felmentéséről a Facebookon most ezt írta:

„Az ügyészség helyt adott az engem védő Társaság a Szabadságjogokért ügyvédje által tett panasznak az ügyemben, ezáltal nem tekintenek a továbbiakban gyanúsítottnak, felmentettek.

Az ügyészség megállapította, hogy a célom valóban és nem cáfolhatóan a biztonsági rés feltárása és ennek közlése volt a BKK felé, amelyet két e-mail címre is megtettem, de erre választ nem kaptam. Megállapították, hogy ahhoz, hogy kétséget kizáróan meggyőződjek a rendszerhibáról, szükséges volt a vásárlás befejezése; továbbá azt is, hogy a cselekményem vezetett ezen informatikai rendszer olyan módon történő kijavításához, mely kizárja a hasonló cselekmények kivitelezését a továbbiakban; a fentiek alapján pedig azt, hogy cselekményem nem veszélyes a társadalomra, mely a bűncselekmény megállapíthatóságának törvényi előfeltétele. Emellett

megállapították, hogy a bejelentésem közérdekű bejelentésnek minősül (ami büntethetőséget kizáró ok), mivel olyan körülményre hívta fel a figyelmet, melynek orvoslása a közösség érdekét szolgálja,

Meg szeretném köszönni mindenkinek, aki bármilyen módon a segítségemre volt, a segítségemre szeretett volna lenni, akár csak egy kedves szóval mellettem állt.

Meg szeretném köszönni a rengeteg felajánlást, továbbá külön a TASZ ingyenes jogsegélyét is. Úgy gondolom, hogy a rengeteg támogatás, segítség, mellettem való kiállás nélkül nem lettem volna képes ennyire erős maradni a legnehezebb helyzetekben is. Volt, hogy egy-egy egyszerű hozzászólás adott erőt, derített jobb kedvre.

A feljelentés miatt a BKK-t több tízezer ember értékelte elégtelenre a cég Facebook-oldalán, a német anyacég pedig elhatárolódott a T-Systemstől.

Az online jegyvásárlási rendszer hibái miatt valószínűleg több ezer felhasználó adataihoz lehetett hozzáférni, a 24.hu legalábbis megszerzett egy adatbázist, amelyben csaknem négyezer felhasználó teljes neve, e-mail-címe, illetve a regisztrációkor használt igazolvány típusa és száma is szerepel. Emiatt a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) adatvédelmi hatósági eljárást indított.