Évekre lecsukhatják a BKK e-jegyrendszerének feltörőjét, keresik a túlterheléses támadás elkövetőit is

Büntetőeljárást folytat a rendőrség a BKK e-jegyrendszerének feltörése, háromezer felhasználó adatainak ellopása, valamint hűtlen kezelés miatt. Ezzel egy időben operatív nyomozás zajlik azért, mert napokig túlterhelték a közlekedésszervező cég számítógépes hálózatát. A BKK Mol Bubi rendszeréből kiszivárgott felhasználói adatok miatt még nem indult nyílt nyomozás, az adatvédelmi hatóság azonban ezt az ügyet is vizsgálja.

A folyamatokat elindító, a közvélemény előtt – tévesen – „etikus” hekkerként emlegetett 18 éves vidéki fiatalember ellen információs rendszer vagy adat megsértése bűncselekmény elkövetésének megalapozott gyanúja miatt folyik nyomozás. A másik két nyílt büntetőeljárás állampolgári feljelentésre indult, mindkettő ismeretlen tettes ellen. A hűtlen kezelés gyanúja miatt tett feljelentés az „etikus” hekker tettéből indult ki, mivel az e-jegyrendszer fejlesztési hibái miatt kár érte a BKK-t. A rendőrök azt vizsgálják, hogy ki a felelős a biztonsági hiányosságok elhárításának elmaradásáért.

Személyes adattal való visszaélés miatt is nyílt nyomozás indult, miután a 24.hu átadott egy több mint háromezer adatból álló, hozzájuk beérkezett listát a Nemzeti Adatvédelmi és Információszabadság Hatóságnak. Ezeket az adatokat egy hekker juttatta el a portálhoz, aki állítása szerint az 50 forintért bérletet vásárló, „etikus hekkerként” emlegetett fiatal előállítása és meggyanúsítása hírére támadta meg az e-jegyrendszert, és feltörve azt, több mint ötezer felhasználó személyhez köthető adatát lopta el. Ebben a nyomozásban egyértelműen a rendszert feltörő és az adatokat eltulajdonító ismeretlen hekker a célpont.

Az ügyek szempontjából fontos, hogy a 18 éves gyanúsított a Magyar Idők által megszólaltatott szakértő szerint nem végzett szigorúan vett hekkertevékenységet, mivel nem tört fel kódot, nem szerzett meg kényes adatokat, hanem böngészőparamétert módosított. A fiatal a BKK a T-Systems Magyarország által fejlesztett e-jegyrendszerének egyik hibájára jött rá, 50 forintra módosította a havi e-bérlet árát, amit a rendszerhiba miatt jóvá is hagyott a program. A hibát azonnal jelezte a BKK-nak, igaz, egy olyan e-mail-címen, amit nem levelezésre használ a cég, majd meg sem várva a reakciót, értesítette az Index.hu-t a történtekről. A sztori 22 perccel később már olvasható volt a portálon. A fiatal súlyos börtönbüntetést is kaphat. Nem írhatta volna át a bérlet árát, majd a hiba kijavítása előtt nem hozhatta volna nyilvánosságra a történetet, mert ezzel lehetőséget adott másoknak is a hiányosság kiaknázására. Az egyelőre nem nyilvános adat, hogy tettével mennyi kárt okozott a BKK-nak.

Keresik az „etikus hekker” bosszúhadjáratot indított kollégáit is

A nyílt nyomozások mellett operatív – titkos – munka is folyik. A 18 éves fia­tal előállításának hírére először a BKK Facebook-oldalát bénították le a tömegesen odalátogatók, majd előbb az e-jegy­rendszert, azután pedig a BKK és a T-Systems honlapját érte túlterheléses támadássorozat, a rendszer 72 órára összeomlott. A nagy sávszélességet és számítási kapacitást igénylő, célzott és szervezett támadássorozat komoly anyagi és humán ráfordítást igényelt. Tarlós István főpolgármester a támadássorozat bekerülési összegét 300 millió forintra tette.

A túlterheléses támadás elkövetői ellen még nem folyik nyílt nyomozás, hanem ugyanúgy operatív eszközökkel keresik őket, mint a BKK másik rendszere, a budapesti kerékpáros közösségi közlekedési rendszer, közkeletű nevén a Mol-Bubi számítógépes rendszerének feltörőjét, aki több mint ötezer felhasználó adataihoz jutott hozzá, majd azokat a 24.hu-nak küldte meg. A portál az adatvédelmi hatósághoz juttatta el a lopott adatokat. Ezt követően Péterfalvi Attila adatvédelmi biztos hatósági eljárást indított a BKK-nál történt támadások miatt. A hatóság elsősorban azt vizsgálja, hogy a BKK és a T-Systems Magyarország teljesítette-e az információs önrendelkezési jogról és az információszabadságról szóló törvényben szereplő kötelezettségeket, különösen az informatikai rendszerekkel összefüggésben az adatbiztonsági követelményeket. Felelősség megállapítása esetén azonban mindössze 20 millió forint büntetést tudnak kiróni.

magyaridok.hu