Feljelentéssel hálálta meg a kéretlen tesztelést a Telekom

Feljelentéssel hálálta meg a kéretlen tesztelést a Telekom

Nem csak a BKK online rendszerét meghackelő fiatalt hurcolták meg, a Telekom egy korábbi esetben is a feljelentésben látta a legjobb megoldást a hibák kezelésére – írja az Index.

A lap által feltárt eset még áprilisban történt, egy vidéki főiskolán tanuló programozó a neten egy olyan pdf-formátumú, szabadon elérhető felhasználói útmutatót talált, amiben egy DNS-kiszolgáló IP-címe is szerepelt.

Az András álnéven bemutatott programozó tesztelte az IP-címet – majd feltárult előtte a Telekom rendszerének egyik sebezhető pontja: hozzájutott egy rendszergazdai jelszóhoz, ezt felhasználva pedig belépett egy fejlesztői szerverre, ahonnan a Telekom teljes hálózatába vezetett az út.

András azonnal jelezte a komoly biztonsági rést, majd – a Telekom meghívására – saját költségén Budapestre utazott, hogy egy hét oldalas dokumentumban mutassa be eredményeit. A megbeszélésen állítólag többször is rákérdeztek, hogy mi volt a motivációja, miért törte fel a rendszert, és ezt most miért jelzi feléjük, Telekom szakértői pedig hangsúlyozták, csak kevés embernek jutna eszébe így feltörni a vállalat hálózatát.

http://mno.hu/

http://mno.hu/

Hírdetés

A programozó nem konkretizált állásajánlatot, illetve napidíj-ajánlatot is kapott a beszélgetés során – az összegről később levélben is tárgyaltak, de András olyan összeget kért, amit a Telekom részéről sokalltak, aztán megszakadtak az egyeztetések.

A programozó ettől függetlenül nem hagyott fel a hálózat tesztelésével, és állítása szerint egy olyan, újabb biztonsági rést is talált, amellyel a teljes állami és lakossági mobil- és adatforgalomhoz hozzá lehetett férni, és a T-Systems által kiszolgált cégek szervereinek adatforgalmát is meg lehetett volna figyelni.

András a teszt során nem rejtette el kilétét (IP-címét). Megvizsgálta, hogy a Telekom belső rendszerében létre tud-e hozni egy rendszergazdai jogosultsággal rendelkező tesztfelhasználót. Ez sikerült, de hamar észrevette, hogy ezt kiszúrták a Telekom emberei is. András ebből látta, hogy ezt a sebezhetőséget ezek szerint már észlelték a cégnél. Ezek után felhagyott a rendszer tesztelésével.

Mint később megtudta, a Magyar Telekom ezen napon ismeretlen tettes ellen feljelentést tett a rendszerét ért támadás miatt. 

Három héttel később már a Nemzeti Nyomozó Iroda rendőrei keresték fel a vidéki fiatalembert, akit egy napon keresztül faggattak az NNI Aradi utcai irodájában, lefoglalták, adathordozóit, mobiltelefonját is. Mint kiderült, információs rendszer vagy adat megsértésének bűntettével gyanúsítják – az eljárás további szakaszában pedig egy ügyész javasolta előzetes letartóztatásba vételét is, ami végül nem történt meg.

Az Index megkereste az ügyben Magyar Telekomot is, a kommunikációs vállalat szerint a biztonsági rést felfedező programozónak azonnal jelentenie kellett volna a találatot.

„Amennyiben a támadó nem jelentkezik azonnal önként, ezzel jóhiszeműségét igazolva, és az észlelt támadás átlép egy szintet, akkor belső eljárásrendünk alapján ismeretlen tettes ellen feljelentést teszünk, tesszük ezt rendszereink és a szolgáltatások folyamatos biztosítása érdekében” – írta a cég.

András szerint azonban most épp annak a megítélése nehéz, mit is tekintenek haladéktalan jelzésnek. Vajon hagynak-e elég időt arra, hogy valaki kívülről feltárjon egy hibát, és ezt jelezze. Vele épp az történt, hogy felfedezett egy biztonsági rést, nem sokkal ezután pedig már feljelentést is tettek miatta. Szerinte esélye sem volt arra, hogy a dolog végére járjon.


Forrás:mno.hu
Tovább a cikkre »