Pénzbüntetést kapott a Telekom rendszerét feltörő hacker

A segítő szándékú hacker biztonsági rést talált a Magyar Telekom informatikai rendszerében, figyelmeztette is a céget, mégis feljelentették.

A Szolnoki Járásbíróság folytatólagosan elkövetett információs rendszer vagy adat megsértése bűntettében mondta ki bűnösnek, és 600 ezer forint pénzbüntetésre ítélte nem jogerős ítéletében azt a fiatalembert, aki két évvel ezelőtt feltörte a Magyar Telekom szerverét. 2017 tavaszán egy akkor még főiskolás programozó felfigyelt egy szokatlan IP-címre a Magyar Telekom egy nyilvános, interneten elérhető felhasználói útmutatójában. A címet megvizsgálva rájött, hogy azon keresztül lehetséges rendszergazdai jelszóhoz jutni, ami hozzáférést enged a vállalat belső informatikai rendszeréhez. A hibát azonnal jelezte a Telekomnak, és egy személyes találkozón rövid elemzésben fel is vázolta a cég kiberbiztonsági szakembereinek, hogy milyen hibákat tárt fel, és hogy milyenek lehetnek még a rendszerben.

A Szolnoki Törvényszék a honlapján közölte, a hacker azt kérte, hogy 700-800 ezer forintos havi fizetésért programozóként alkalmazzák. A cég ettől elzárkózott, felhívták a figyelmét arra, hogy amit tett, törvénybe ütközik, és arra kérték, hogy ne folytassa a tevékenységét. A cég szakemberei a tárgyalás során megerősítették, hogy komolyan gondolkodtak az etikus hacker alkalmazásán, akit tehetségesnek és felkészültnek tartanak. Az ügyészség mégis súlyos bűncselekményként kezelte a történteket: az etikus hackert előzetes letartóztatásba akarták helyezni, majd egy alku keretében 2 év szabadságvesztést ajánlottak neki 4 évre felfüggesztve, ha hajlandó bűnösnek vallani magát. Ellenkező esetben letöltendő börtönt kértek volna rá.

Az ítélet indokolásában elhangzott: a fiatalember ezt követően még 62 alkalommal jogosulatlanul belépett a cég szerverére, ahol a saját részére, jogosulatlanul felhasználói profilokat hozott létre, és a cég dolgozóinak belépési adatait, felhasználóneveit és jelszavait gyűjtötte. A büntető törvénykönyv rendelkezései szerint bűncselekményt, az információs rendszer vagy adat megsértését követi el számos más eset mellett az, aki információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat. A törvény ezt cselekményt 3 évig terjedő szabadságvesztéssel bünteti. Lényegesen súlyosabb, 2 évtől 8 évig terjedő szabadságvesztést ír elő azonban a törvény, ha közérdekű üzem ellen követik el azt. Ez utóbbi, minősített eset miatt emeltek vádat a fiatalemberrel szemben - közölte a törvényszék.

A Szolnoki Járásbíróság kihirdetett ítélete a vádtól eltérően a bűncselekmény 3 évig terjedő szabadságvesztéssel büntetendő alapesetében mondta ki bűnösnek a büntetlen előéletű férfit, és elegendőnek tartotta pénzbüntetés kiszabását. Az ügyész súlyosításért, a vádlott és védője elsődlegesen felmentésért, másodsorban enyhítésért fellebbezett, így az ügy másodfokon, a Szolnoki Törvényszéken folytatódik - közölték. A fiatalember védelmét a Társaság a Szabadságjogokért (TASZ) vállalta el, és a szervezet nem ért egyet az ítélettel. Úgy vélik, a bíróság nem ismerte fel, hogy a köz érdekében végzett hackelés nem veszélyes a társadalomra, így büntetés sem jár érte.

Dr. Hüttl Tivadar, a TASZ ügyvédje elmondta: bár a legsúlyosabb jogi következménytől sikerrel védte meg ügyfelét, nem elégedett az ítélettel. „Aki jószándéktól vezérelve a köz érdekében feltár egy komoly biztonsági hibát, nem követ el olyan cselekményt, ami veszélyes lenne a társadalomra. A büntetőjog az ártó szándékú cselekmények esetében alkalmazható. A bíróságnak fel kellett volna ismernie, hogy a védencünknek köszönhetően hárult el a biztonsági kockázat és felmentő ítéletet kellett volna hoznia. Fontos, hogy a joggyakorlat ebbe az irányba menjen, a bíróságok ismerjék fel, hogy az etikus heckerek nem követnek el bűncselekményt, ezért fellebbeztünk” – tette hozzá Hüttl.