Három nyílt büntetőeljárás indult eddig a Nemzeti Nyomozó Iroda kiberbűnözés elleni főosztályán a Budapesti Közlekedési Központ (BKK) e-jegyrendszerével kapcsolatban, erősítették meg tegnap a Magyar Időknek a rendőrségen. A folyamatokat elindító, a közvélemény előtt – tévesen – „etikus” hekkerként emlegetett 18 éves vidéki fiatalember ellen információs rendszer vagy adat megsértése bűncselekmény elkövetésének megalapozott gyanúja miatt folyik nyomozás. A másik két nyílt büntetőeljárás állampolgári feljelentésre indult, mindkettő ismeretlen tettes ellen. A hűtlen kezelés gyanúja miatt tett feljelentés az „etikus” hekker tettéből indult ki, mivel az e-jegyrendszer fejlesztési hibái miatt kár érte a BKK-t. A rendőrök azt vizsgálják, hogy ki a felelős a biztonsági hiányosságok elhárításának elmaradásáért.
Személyes adattal való visszaélés miatt is nyílt nyomozás indult, miután a 24.hu átadott egy több mint háromezer adatból álló, hozzájuk beérkezett listát a Nemzeti Adatvédelmi és Információszabadság Hatóságnak.
Ezeket az adatokat egy hekker juttatta el a portálhoz, aki állítása szerint az 50 forintért bérletet vásárló – „etikus hekkerként” emlegetett fiatal előállítása és meggyanúsítása hírére támadta meg az e-jegyrendszert, és feltörve azt több mint ötezer felhasználó személyhez köthető adatát lopta el. Ebben a nyomozásban egyértelműen a rendszert feltörő és az adatokat eltulajdonító ismeretlen hekker a célpont.
Az e-jegyrendszer elleni összehangolt, szervezett akciót feltételeznek a hatóságok
Az ügyek szempontjából fontos, hogy a 18 éves gyanúsított egy számítógépes szakember szerint nem végzett szigorúan vett hekkertevékenységet. – A cselekménye olyan, mintha kicserélte volna a boltban két árucikk árát, mert rosszul volt felrakva az árcédula. Nem tört fel kódot, nem szerzett meg kényes adatokat, hanem böngészőparamétert módosított – fejtette ki lapunknak a szakértő. Ismert, a fiatal a BKK a T-Systems Magyarország által fejlesztett e-jegyrendszerének egyik hibájára jött rá, 50 forintra módosította a havi e-bérlet árát, amit a rendszerhiba miatt jóvá is hagyott a program.
A hibát azonban azonnal jelezte a BKK-nak, igaz, egy olyan e-mail-címen, amit nem levelezésre használ a cég, majd meg sem várva a reakciót, értesítette az Index.hu-t a történtekről. A sztori 22 perccel később már olvasható volt a portálon. A fiatal súlyos börtönbüntetést is kaphat. Nem írhatta volna át a bérlet árát, majd a hiba kijavítása előtt nem hozhatta volna nyilvánosságra a történeteket, mert ezzel lehetőséget adott másoknak is a hiányosság kiaknázására. Az egyelőre nem nyilvános adat, hogy tettével mennyi kárt okozott a BKK-nak.
A nyílt nyomozások mellett operatív – titkos – munka is folyik. A 18 éves fiatal előállításának hírére először a BKK Facebook-oldalát bénították le a tömegesen odalátogatók, majd előbb az e-jegyrendszert, azután pedig a BKK és a T-Systems honlapját túlterheléses támadássorozat érte, a rendszer 72 órára összeomlott. Úgy tudjuk, hogy a célzott, szándékos túlterheléses és sérülékenységekre irányuló támadás a BKK által üzemeltetett infrastruktúrán keresztül érte a szolgáltatást. A BKK-t és a T-Systemset felváltva terhelték a támadók, így az összehangoltság és a szervezettség egyértelmű volt. A rendszerek normál helyzetben másodpercenként átlagosan 300-400 bejegyzést (látogatást) rögzítettek, ez a támadások csúcspontján 13 000 fölé ugrott másodpercenként, és egy óra alatt elérte az 50 milliót (!). A támadások a rendszer védelmi funkcióit is kijátszották.
A nagy sávszélességet és számítási kapacitást igénylő támadássorozat komoly anyagi és humán ráfordítást igényelt, célzottsága és szervezettsége miatt kizárható, hogy ilyen rövid idő alatt különálló, elszigetelt támadási forrásokból érkezett. Tarlós István főpolgármester a támadássorozat bekerülési összegét 300 millió forintra tette sajtótájékoztatóján. Ebbe a támadók által az úgynevezett dark weben (sötét internet) beszerzett algoritmusok ára – mintegy 11 ezer dollár egy 72 óráig működő támadó algoritmus ára, ez esetben 35–50 algoritmusról volt szó – éppúgy beletartozik, mint a támadók szoftverigénye, valamint a védelem anyagi költségei. A támadás kezelésére negyven számítógépes szakembert kellett nagyon komoly pluszdíjazásért soron kívül alkalmazni.
Legutóbb a közbringarendszert érte támadás, több mint ötezer felhasználó adata került illetéktelenekhez
A túlterheléses támadás elkövetői ellen még nem folyik nyílt nyomozás, hanem ugyanúgy operatív eszközökkel keresik őket, mint a BKK másik rendszere, a budapesti kerékpáros közösségi közlekedési rendszer, közkeletű nevén a Mol-Bubi számítógépes rendszerének feltörőjét, aki több mint ötezer felhasználó adataihoz jutott hozzá, majd azokat szintén a 24.hu-nak küldte meg. A portál az adatvédelmi hatósághoz juttatta el a lopott adatokat. Ezt követően Péterfalvi Attila adatvédelmi biztos hatósági eljárást indított a BKK-nál történt támadások miatt. A hatóság elsősorban azt vizsgálja, hogy a BKK és a T-Systems Magyarország teljesítette-e az információs önrendelkezési jogról és az információszabadságról szóló törvényben szereplő kötelezettségeket, különösen az informatikai rendszerekkel összefüggésben az adatbiztonsági követelményeket. Felelősség megállapítása esetén azonban mindössze 20 millió forint büntetést tudnak kiróni. A rendőrség együttműködik a hatósági eljárás során az adatvédelmi biztossal.
