#reTEK - Resource for Technical Knowledge 

A #reTEK magyar, civil, informatikai-biztonságtechnikai szakmai szerveződés, amely a hazai etikus hackeléssel, auditálással foglalkozó szakembereket foglal magába. Célunk a szakmai kutatási-fejlesztési projektek támogatása technikai tudásunkkal.

Jelen állásfoglalás az eddig megismert adatokon, információkon alapul

A magyarországi jogszabályi környezet nem ismeri a jóindulatú, etikus hackelést. A 18 éves fiatalember tudomásunk szerint nem rendelkezik semmilyen  informatikai-biztonságtechnikai minősítéssel, így semmiképpen sem nevezhetjük etikus hackernek. Mindazonáltal a tevékenysége jóhiszeműnek tekinthető, mivel a talált hibát jelenlegi információink szerint azonnal jelezte a BKK számára, de mivel választ nem kapott, ezért a sajtónyilvánossághoz fordult, amivel etikai vétséget követett el.

Technikai értelemben véve a feladat illetve a hiba egy nagyon könnyen kihasználható és rendkívül súlyos sérülékenység volt. Információink alapján az adatokkal az az ő számítógépén, az ő böngészőjében dolgozott, nem a BKK szerverén -- tehát nem lépett be jogosulatlanul, nem emelt privilégiumot, nem adta ki magát másnak, BKK-tól adatot nem hozott el, ezeket nem változtathatta meg, ezért a BTK 423. §(1),(2) szakaszát nem sértette meg, így törvénysértést sem követett el. Ezáltal egy olyan hibára hívta fel a figyelmet, amit valószínűleg már mások is megtalálhattak, csak azt nem jelezték, ő ezzel a jelzéssel a későbbi, sokkal súlyosabb problémákat hivatott megelőzni.Mindazonáltal a szakmai tapasztalatlanságát és jóhiszeműségét bizonyítja, hogy a bérlet vásárlásakor amikor a vásárlási kérést a bank irányába elküldte, a tranzakciót nem kellett volna befejeznie, a banki adatátadással bizonyíthatta volna a hiba létezését.

A BKK és a T-Systems részéről pedig egy abszolút szakmaiatlanság övezte mind a sajtótájékoztatót mind a további megtett intézkedéseket. Technikailag pedig leszögezhetjük, hogy a BKK Online Shop rendszere mind biztonságtechnikailag, mind programozástechnikailag az iparági szabványok minimális követelményeinek sem tesznek eleget.

__________________________________________________________________________________________

http://retek.org                                                                                                retek*kukac*retek.org