T-Systems

Kedves ottani kollégák! Vajon csak ültök, mint nyuszi a fűben, vagy ráborítottátok már az asztalt a főnökre?
https://444.hu/2017/07/21/ejszaka-elvittek-a-rendorok-a-18-eves-fiut-ak…

Hozzászólások

A leggusztustalanabb a pártállami a tempó: "éjszakajövünk, feketeautóval, megfingatjukakisköcsögöt, mivagyunkatörvény"...

Minek kell egy geatlife 18 éves nördöt rendőrökkel éjszaka elvinni? De tényleg? Ha csak nem direkt megfélemlítés és példastatuálás ürügyén? Arról nem is beszélve, ha egy 18 éves kellemetlen helyzeteket tud okozni az egyik legnagyobb magyar enterspájz IT cégnek, és a közpénzből dolgozó megbízójának mert akkora trágyahalom a rendszer amit leszállítottak, akkor ott sosem a 18 éves kisgyerek a hibás.

Kirúgni minden vezetői pozícióban lévő érintettet, bohócokra nincs szükségünk.

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

Mondjuk ezzel konkrétan nincs bajom. Ez egy szakmai fogás hogy akit be kell vinni azért akkor mennek amikor jó eséllyel otthon van és nem tanúsít ellenállást. Az, hogy nem válogatnak az ügyek között, és ebben az esetben az egész teljesen indokolatlan volt az nem a rendőrség, hanem annak az idiótának a hibája, aki a feljelentést megtette, a helyett hogy a gyereknek egyből valami intern melót ajánlott volna.

Ez egy szakmai fogás hogy akit be kell vinni azért akkor mennek amikor jó eséllyel otthon van és nem tanúsít ellenállást.

Igen, a 18 éves kocka gyerektől marha nagy ellenállásra lehet számítani.
Inkább azért viszik el éjjel, hogy suttyomban legyen, kevesebben vegyék észre.
Nem véletlen, hogy a csicskasajtó is kussol az éjjeli elfogásos ügyről.

Más esetben, már ajnároznák a rendőrséget, hogy uhh, ahh milyen gyorsan megoldották az esetet, és elfogták az elkövetőt , aki hogy is írta az origo ??, hmm.

"megpróbálta tönkretenni a bkk digitális bérletrendszerét...A BKK szerint a rendszert nem sikerült feltörni, az továbbra is biztonságos, ezért nincs ok arra, hogy felfüggesszék a működését. Egy esetben büntetőfeljelentést tettek, a többi támadást még vizsgálják."

Úgy látszik a csicskasajtó számára nincs hírértéke, hogy "elfogták az elkövetőt". ;-)

--------

Előállított "Vállalati
Internetszennyező"

félreérted. Nincs felelős. Ez így jó! Csak a gonosz számítógépes bűnözők kavarják a cirkuszt. Majd jól meg lesznek fingatva büntetőjogilag.

Egyébként minden jó és biztonságos. Bemonta a narancstévé összes csatornája minden egypercesben, megírta a magyarhirlap, a Z'origo, meg a hasonlók, ez így jó. Nincs itt semmi különleges, pofa kussba és kész.

--------

Előállított "Vállalati
Internetszennyező"

Ha csak nem direkt megfélemlítés és példastatuálás ürügyén?

Pontosan azért.

Egy tekintélyelvű diktatúrában - amiben ma élünk - a vezetők tekintélyének védelme elsődleges fontosságú, minden másnál előbbre való, még a rendszer működőképességénél, hatékonyságánál is ! Ehhez a leggyakrabban használható eszköz a megfélemlítés ! A megfélemlítés lehet gazdasági, fizikai, a rendszer szempontjából teljesen mindegy. A srác esetében most éppen fizikai.

A BKK-T ügy is csak egy pici példa a sok közül. Szerintem a hatalom köreiből (bkk ugye köztulajdonban álló cég) pontosan ilyen reakcióra lehetett számítani az elmúlt évek tapasztalata alapján.

--------

Előállított "Vállalati
Internetszennyező"

Annak a srácnak az esete picit azért más volt, valamiféle "szellemi tulajdont" lopott az FC rendszeréből, ha jól értem.

A "mi srácunk"-nál ez nem áll fenn, ettől függetlenül a magyar törvények miatt biztosan lesittelik 2 vagy 3 évre, de szerintem csak felfüggesztettre.

A bírók a törvények alapján fognak ítélni, és az alapján szerintem el fogják kaszálni a gyereket, de ha zsírfideszes bíróhoz kerül, max. akkor kap letöltendőt. Egyébként megússza felfüggesztettel. (általatok is említett ún. enyhítő körülmények).

Erre Remélem, ha a srác bíróság előtt végzi, a bíró megfingatja majd egy cseppet a feljelentőket. Ha kiderül, hogy tényleg fittyet hánytak a bejelentésére, nincs az a bíró, aki elítéli.

majd azt fogják mondani, hogy ez nem jogosította fel arra, hogy visszaélést kövessen el (50 Ft-ért vegyen bérletet) a rendszerben, és ezt széles körben nyilvánosságra hozza. (~üzleti titok megsértésével a jó képességű ügyészségünk simán bevádolja).

Hogy aztán "tiltott adatszerzés"-sel, vagy "információs rendszer vagy adat megsértésé"-vel, vagy "Információs rendszer védelmét biztosító technikai intézkedés kijátszása"-val is vádolják max. az lehet a kérdés szerintem.

--------

Előállított "Vállalati
Internetszennyező"

Azert kellett ejszaka elvinni, mert bar elozo nap reggel elindult a TEK, kibertamadas erte a GPS muholdat (gyk: mas is bekapcsolva hagyta a GPS bigyot a telefonjan, a szemet!), ezert eltevedtek. Ebben persze a milliardokert (valakinek az unokaoccsetol megvasarolt) elavult Apple Maps sem segitett.

Na, ezert ertek oda csak este. Pedig idoben indultak am, hos rendoreink, csak a galad Soros-penzelte, muhold kibertamado libsi szemetek - akik radikalizaltak az Elkovetot is!! - akadalyoztak oket hazafias munkajuk vegzese kozepette.

--
|8]

Egy gyakornoki állás felajánlása minden szempontból szerencsésebb lépés lett volna.

<3 openSUSE, Ubuntu, KDE <3

arra tippelnék, hogy adott esetben egy google, vagy egy FB, vagy bármi egyéb nagyobb cég kínál neki egy gyakornoki állást, főleg ha bíróságig megy az ügy.

A BKK / T-Systems meg b.ssza meg ilyen cinikus sz.r hozzáállással + nyilatkozattételekkel. Érdekes, a MÁV e-jegy rendszernél nem beszélt senki "óriási nemzetközi hackertámadásról ..." vajon miért? Lehet hogy oda normálisan összerakott rendszert raktak? :)

Remélem, ha a srác bíróság előtt végzi, a bíró megfingatja majd egy cseppet a feljelentőket. Ha kiderül, hogy tényleg fittyet hánytak a bejelentésére, nincs az a bíró, aki elítéli. Persze lesz ejnye bejnye hogy miért tálalt ki, de semmi komoly. Egy laikus is látja mi a szitu. Peren kívülire mennyi az esélye?

az a gond T-Systemsre negatív reklám se hat. Persze ha dől az állami lé akkor kit érdekel gondolják :)

Csak halkan jegyezném meg, hogy szigorúan jogi és technikai szemszögből nézve, a vád és a letartóztatás megállja a helyét.
A jelenlegi szabályozás, informatikai rendszerbe történő felhatalmazás nélküli beavatkozást bűnteti. Ezt megvalósította, mikor megváltoztatta a POST metódusban a jegy értékét és letesztelte, hogy működik-e. Ezután, kis naívan, a tevékenysége bizonyítékait elküldte a BKK-nak.
Ezután, mikor megijedt attól, hogy faszrahúzzák, kitálalt az összes sajtóterméknek akit csak elért. Ez nagyjából annyit jelent, mintha egy 0day exploitot nyomott volna ki POC támadó kóddal.
És még Ő van meglepve, mikor rárúgják az ajtót.
Teszi mindezt egy olyan rendszeren, aminek kibaszott nagy hírverése és politikai súlya van.
Erre csak egy kérdést tudok feltenni:Noooooooorrrrmáááális?
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Te hülye vagy
Bameg egy kölyök talált egy hibát. Mi, tán tudnia kell hogy mi a módi? Letesztelte, észrevette szar, hívta őket, de leszarták. Mint engem ma egy másik cég máshol más dolog miatt. Ez ugye normális.
Mondta nekik ha nem veszik komolyan akkor kiereszti a szellemet a palackból. Erre ezek elmentek hétvégére, szartak rá.
A sajtó hangját már főtiszteletű vezető uraság is meghallotta. Bepipult, mert félbeszakították a golfozása közben. Rakat begyepesedett rugalmatlan kihalásra ítélt...
Komolyan kellett volna venni amikor jelentkezett telefonon. Nem a hétvégére koncentrálni.

Ki kérte fel a hibakeresésre és a tesztelésre? Senki.
Igen tudnia kéne, hogy elmúltak a 90-es évek, mikor büntetlenül lehet piszkálgatni weboldalakat és a menő hackergyerekek görkorcsolyával jártak.
Bónusz, hogy a "kieresztem a szellemet a palackból" dolog megtörtént, csak itt TEKnek hívták a dzsinnt.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

szerintem semmiféle illegális behatolás v. betörés nem történt. - amennyire tudjuk -
az oldal lehetőséget nyújtott arra, hogy a fizetendő összeget megváltoztassa, élt is a felkínált lehetőséggel, tehát semmiféle illegális tevékenység nem történt.

a felhasználónak amúgy sem tisztje eldönteni, hogy egy funkció bug, v. feature.

ami meg a t-istencsapása munkáját illeti...
nem tudom mit mondjak:) az unokám jobb szoftvert ír, mint a t-s mérnökök:)

őő azt még nem tudjuk hogy melyik srácról is beszélünk. Ez a "srác" ugyanaz-e a srác, aki a twitteren teregette az infókat, valószínűleg nem.

Jogilag valóban megállja a helyét, csak ugye ezt normális helyeken nem feljelentéssel / előállítással szokták "díjazni", hanem pl 1000$ -al, amennyiben jelentette.
És ahogy lejött, jelentette. Csak leszarták. A sajtó elé jóval azután került ez a srác, mikor már boldog boldogtalan erről beszélt.

A BKK meg meglepődött, hogy uh, mekkora HEKKKERTÁMADÁS folyik ellenünk... Bazmeg, ezt lenyilatkozni.... Csodálkoznak? Amint kiment ez a cucc, tényleg boldog boldogtalan a BKK e*ticket oldalain járkált.... Az már bűncselekémy.

De az hogy felfedezek egy security rést, le"tesztelem" hogy tényleg működik-e (kissé odébb lakik a srác mint Budapest) és ezután hivatalosan jelentem az üzemeltetőnek, aki leszarja, az nem kicsit távol áll a bűncselekménytől ... Jogilag persze az, lehet itt feljeletgetni, majd az 500forintos bérlet vásárlást, amit sehol nem használt és 50 forintért kapta, majd leüli, vagy közmunkásssban ledolgozza...

Értem én hogy jogilag villanymotor, de mi a f.sz hajccccsa sok csével ... Kedves Hiéna, ha a Te egyik rendszerben lenne egy rés, amit felfedez egy XY 18 éves srác, és ezt jelzi neked, hogy figyu már, itt van egy ilyen sebezhetőség, úgy hogy effektive kárt nem okozott. Majd ezt leszarod. Utána a fél világ rákattan, kijönnek nyilvánosan ezek a dolgok, akkor te bizony elő fogod venni az XY 18 éves srácot, hogy BAZMEG MIT CSINÁLTÁL ? ..... lelked rajta, de nem hiszem.

ja amúgy SOROS szervezetek szervezték meg a megszervezett szervezet támadását .... :)

betört a bkk rendszerébe a gyerek?
egyértelműen nem.

betört a bank rendszerébe?
egyértelműen nem.

jogvédett kódot módosított?
egyértelműen nem.

nem követett el semmit. tettek neki egy ajánlatot, egy bérlet x Ft.
mire ö azt monda legyen 50 Ft.

és elfogadták! hol itt a bűncselekmény?

de ez nem sebezhetőség.

nem tudom mi, de nem sebezhetőség.

a probléma az, hogy nekem küld egy csomó adatot a srerver. jelen esetben a bkk.

ez az adatot - történetesen egy weboldal - én módosítom. - jegyzem meg mindig ezt csinálom, ublock-al. addblock-al, vagy akármivel, majd a módosított adatokat visszaküldöm. - jegyzem meg, mindig ezt csinálom, amikor a google-l keresek v.mit, v. bankolok - a célnál pedig ellenőrzik az adatokat.

ha rossz, v. nem rám tartozó, esetleg helytelen adatokat küldenek, és a visszaérkezett adatokat nem, v. nem jól ellenőrzik, az nem az én problémám kell hogy legyen.

ez nem bug.

értem én hogy a szakértelem egy bolsevista trükk, de a hiánya már nem az én problémám kell hogy legyen:)

hajtsák be a mocskos lóvéjukat azon aki elherdálta..

Még abban sem vagyok biztos, hogy jogilag megállja a helyét.
Lásd: https://hup.hu/node/129008

Ebből kiemelném:
"A számítástechnikai rendszerbe történő belépés azonban csak akkor tényállásszerű magatartás, amennyiben a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával történik." - vagyis előfeltétel a biztonsági intézkedés megléte. Jelen estben éppenhogy arról van szó hogy ilyen egyáltalán nem is volt.

Továbbá ott van a Btk. 300/E.-ről szóló részben:
"A (3) bekezdés speciális büntethetőséget kizáró okot fogalmaz meg az (1) bekezdés a) pontja szerinti készítő részére, ha a tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja és lehetővé teszi, hogy a készítésben résztvevő más személyek kilétét a hatóság megállapítsa." - itt nyilván elkészített dolog alatt valamiféle támadó eszközt értenek, de szerintem simán értelmezhető abban a kontextusban is, hogy a sebezhetőség leírását fedi fel és adja át. A srác pedig ezt egész pontosan 2 perccel az "elkövetés" után kísérelte meg.
---
Régóta vágyok én, az androidok mezonkincsére már!

A BTK 423. § (1) c pontja kimondja:
"információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,"
Ezt bizony az úriember elkövette, ugyanis amikor átírta a POST metódus adatait, túllépte a jogosultságait.
Ráadásul megsértette a ugyanezen passzus 3. pontját, mert közérdekű üzem ellen követte el. Igen, a tömegközlekedés közérdekű üzem.

A BTK 300. § esetében a rendőrség az illetékes hatóság. Bár a BKK-nak vannak ellenőrei, ettől még nem hatóság. A srácnak a rendőrségre kellett volna mennie. Ha ezt megteszi, nem rúgják rá az ajtót.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Egy érdekes kérdés: olyankor mi a helyzet, ha esetleg memóriahiba miatt küld vissza a böngésző (vagy hálókártya) "hibás" POST-ot? Csak azért kérdezem, mert normál végfelhasználónál ritkán látok olyat, hogy nyom egy memtest-et a frissen beszerzett laptopján. Gondolok itt arra, hogy például a böngésző árnak '10000'-t kap, de memóriahiba apropóján valami más valósnak tűnő adatot küld vissza. (Pl. '100.12', '00900', stb.) Nyilván itt nem ez volt a helyzet, de érdekelne, hogy ilyenre mit mondasz.

Ha ilyen történik, akkor olyan levelet ír a végfelhasználó, hogy: "T. Bkk tegnap jegyet vettem a weboldalon, 50 Ft-ot fizettem. Biztos, hogy jó az oldal? LOL." nem pedig azt, hogy "Hé, lúzerek! Ha lementem a szar oldalatokat és átütöm az árat 50 Ft.-ra az xy mezőben, lementem és utána megnyitom és nyomok egy Küldést, akkor olcsó lesz a jegyem.. stb."
Feltételezhető, hogy az első esetben az üzemeltető próbál hibát keresni és javítani. Amit a feljebb nyilatkozók többsége sem képes megérteni, hogy egy oldal normál használata és a url mező abuzálása, mókás dolgok kinyerése érdekében nem ugyanaz.

--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Hát akkor most töredelmesen bevallom, hogy az url-ben egy mezőt a kedvenc pizzériám régi oldalán át-átirogattam.
Az ok: alapból 5-6 oldalra fért csak ki a lista és nem lehetett keresni köztük (a pizzák sorrendje se volt fix). Viszont az egyik paramétert 10-ről 100-ra - fő a lustaság - átírva kifért minden pizza egy oldalra és úgy már lehetett Ctrl-F-el keresni.

Igen viszont a törvény szövege szerint a bűncselekmény megvalósulásának előfeltétele, hogy legalább valamilyen primitív szintű védelem létezzen, amit kijátszottál. (A károkozás léte vagy nem léte itt mindegy, az csak az kiszabható évek számát változtatja.)
Talán az lehet a helyes hasonlat, hogy a szerver jelszó kérés nélkül beenged root userrel, akkor a szövegből nagyon úgy tűnik, hogy nem követtél el semmit. Ha a jelszó "1234", amit brute force próbálkozással simán megtalálsz, vagy valami exploitot futtatsz, akkor büntethető vagy.

Vagyis van egy nagyon szélsőséges eset, ami mentesítheti a "támadót": az hogyha semmiféle védelmi intézkedés nem fedezhető fel. A mostani ügyben az eddig kiderült részletek alapján számomra eléggé az a kép alakult ki, hogy pontosan ez történt.
---
Régóta vágyok én, az androidok mezonkincsére már!

legalább valamilyen primitív szintű védelem létezzen,

attól tartok a GET helyett POST-ban történő adatküldést ilyen primitív védelemnek de akkor is védelemnek tartják. ie. nincs beírómező a felhasználói felületen ahol beleírj.

persze nem értek ezzel a véleménnyel egyet.

~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack

És ha nem kárt, hanem hasznot okozok? Csak úgy elméletileg...
Sok esetben a felhasználó számára az jelenti a jogosultságot, h a rendszer elfogadja tőle az utasítást. Ha elfogadta, akkor nem kell aggódnia a jogosultság miatt. Sarkítva: abnormális, h van egy piros gomb, de arra tilos klikkelnem.
Az egész zavart az okozza, h a fejlesztőnek/üzemeltetőnek (az informatikai rendszernek) kéne azt garantálnia, h nem történhet jogosultság túllépés. Exploit ide v. oda. A bugos rendszerükért vállalják ők a felelősséget és ne a felhasználókra próbálják azt átterhelni. Induljanak ki abból, h minden felhasználó vérprofi hekker és rosszindulatúbb mint a T és BKK vezérkara együttvéve. Számukra kell biztonságos rendszert készíteni. Ha erre nem képesek, akkor illúzió helyett áruljanak inkább bőrdíszmű termékeket!

van egy rossz hírem. ami az én gépemen van az az enyém.

vagyis ha a bkk volt olyan hülye, hogy olyan adatot fogad el helyesnek, amit nekem csak tájékoztató jelleggel kellet volna átadnia, és még csak nem is ellenőrzi visszaküldéskór, akkor magára vessen.

a saját birtokomban lévő adatokkal meg azt teszek amit csak akarok.

nem arról van szó hogy olyan adatokat változtatott meg, amik nem voltak a birtokában, nem tört be a szerverre, ott nem változtatott meg semmit, nem lopott el, és nem tett be adatokat.

vannak tök jó ingyenes webáruház készítők. már azok is nagyobb biztonsággal működnek.

Nem egészen.
A webes oldalak/alkalmazások használatakor, nincs jogod annak működését szándékosan oly módon befolyásolni, hogy te azzal a készítőjének kárt okozzál. Lehet szarul megcsinált az oldal, lehet szarul megírt kód, ellenőrzés nélkül átadott értékek, de ezeket te nem manipulálhatod előnyszerzés végett.
A barátunk nem csak a kliens oldalon avatkozott be, hanem a küldés gomb megnyomásával a szerver oldalon is. Enélkül nem tudta volna ellenőrizni az elmélete helyességét. És innentől kezdve ez már nem az Ő adata.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

"A webes oldalak/alkalmazások használatakor, nincs jogod annak működését szándékosan oly módon befolyásolni, hogy te azzal a készítőjének kárt okozzál."

Áááá itt már a károkozással nyomulsz! Akkor most jogosultság túllépés vagy a károkozás a bűne? Jó lenne eldönteni!

ezzel csak az a baj, hogy véletlenszerűen is változhatnak az adatok, vagy rendeltetés szerűen is. semmi nem bizonyítja, hogy szándékos károkozás lett volna a cél.
lehet hogy a csávó csak hencegésből mondta amit...

a kliens felelősségét bizonyítani nehéz lehet, - szerintem egyáltalán nem is állna meg - a gyártó nem vállal felelősséget, marad az üzemeltető/tulajdonos.

A weboldal olyan, mint egy API. Mindenféle üzeneteket lehet neki küldeni HTTP protokolon, és erre ő válaszol valamit.

Nem csak böngészővel lehet egy weboldalt használni.

Ha akarom (és értenék hozzá eléggé), akkor akár telnettel a 80-as portra mehetne interaktívan.
Így ez az egész, hogy nem manipulálhatom, sántít.

Persze, ha észreveszek egy hibát, és kárt okozok vele, az nem szép dolog. Büntessenek meg érte!
De ez a srác nem okozott kárt. Ugye?

és mi van a szándékosan szarul megírt programmal?

mert ekkora gány melót csak szándékosan csinálhat egy tényleg hozzáértő.
ha pedig a program írója eleve alkalmatlan lenne a munkára, akkor a főnöke szándékosan adta neki a munkát?

és hogy a francba kerülhetett egy éles rendszerre? ezt azért már sokan megkérdezték.

A bíróságon nem fog segíteni a virsli mellett folytatott elmélkedés.

375. § (1) Aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.

375. § (1)

  1. Aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz,
  2. az abban kezelt adatot megváltoztatja,
  3. törli,
  4. vagy hozzáférhetetlenné teszi,
  5. illetve egyéb művelet végzésével az információs rendszer működését befolyásolja,
  6. és ezzel kárt okoz,

bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.

---------------------------------------------------------------

  1. jogtalan haszonszerzés nem történt, azonnal értesítette a bkk-t
  2. a saját birtokában lévő adatot változtatta meg.
  3. nem törölt semmit
  4. nem tette hozzáférhetetlenné
  5. ez egy marhaság:) bármit csinálok befolyásolom az információs rendszert. ugyanis azért van kirakva a netre.
    ha nem befolyásolnánk, hogy tudnánk megnézni egy oldalt, hogy a pixelben tudnánk vásárolni, lájkolni, csak passzív szemlélői lehetnénk egy vasnak, amit csak kívülről nézegethetnénk.
    interaktivitás a divat.
  6. mint az 1-es azonnal szolt a bkk-nak.

1. a jogtalan haszonszerzés megtörtént, az értesítés az elkövetés szempontjából teljesen irreleváns, majd a büntetés mértékének meghatározásánál fognak erre kitérni
2. a saját birtokában lévő adat "valahogy" a tshitstems májeskúeljébe bekerült
3. 4. 5. irreleváns, vagylagos feltételekről van szó
6. anyagi kárt okozott a művelet, a felek által is elismerten ez volt a bemutatandó téma tárgya, ezen nincs mit vitatkozni

Itthon nem a TV-ben látott USA jellegű bírósági eljárások dívnak, aki nem hiszi az egész nyugodtan elmehet kipróbálni.

A bíróságok különben azt is megtehetik hogy kurvára beleszarnak a Btk. nekik nem tetsző részeibe, aztán majd a Kúriánál lehet jogorvoslatot kérni a fogházból, a bírói felelősségrevonás intézménye pedig egyébként nem létezik. Lásd itt. Két rosszéletű éjjel összetalálkozott, az egyik elkezdte a másikat ütlegelni, a másik meg szívenszúrta. Se az első-, se a másodfokú bíróságnak nem tűnt fel, hogy éjjel a jogtalan támadással szembeni védekezés mértéke az "új" (idén 5 éves) Btk. szerint korlátlan, nesze 10 év letöltendő.

csak akkor történt volna jogtalan haszonszerzés, ha felhasználja a bérletet.
mindaddig a bérlet csak egy ígérvény majdani teljesítésre.

igen. és erre mondja a jog, ha nincs védelem, betörni sem lehet egy publikus rendszerbe. ellenőrizni kell a beérkező adatokat! az ellenőrzés kijátszása már bűncselekmény lenne.
a rendszert megfelelő védelemmel kell ellátni, ha ez nincs, akkor a rendszer üzemeltetője nem az elvárható gondossággal jár el.

és mint az egyes pont.

sőt ha nagyon akarnám, azt mondhatnám, hogy mivel a kölök visszavonatta a bérletet, v. legalábbis megpróbálta, a jogtalan haszon - 50 Ft. - a bkk-nál jelentkezett, ha nem utalta vissza.

+ a kölyök 8 napon belül bármikor elállhat a vásárlástól, és mivel ezt meg is tette... :)

szóval szívás van bkk elvtárs.

1. Meséld el mi volt a haszna a srácnak?
2. Bekerült. Kinek is kellett volna megakadályozni, hogy ez megtörténjen? Tehát oké, a srác odarakta, csakhogy ilyen történhet véletlenül is akár. Teszem azt a kliensoldalon is elbarmolnak valamit.
6. Ismét várom a kár pontos részletezését? A BKK jelenleg ötven forinttal van beljebb, amit megkapott, és a cserébe kapott bérletet a srác nem használja, nem is lett volna lehetősége használni, és nem is tudná használni, mert érvénytelenítették.

1. Mivel gyakorlatilag publikusan ajánlattételre hívott fel a bérlet árát tekintve a rendszer, ez nem áll meg. Nem küldött a requestben olyan mezőt, amelyre nem volt egyértelműen joga. Nem próbálkozott, hogy ha tippre elküldök "berletara", "ennyilegyen" stb. mezőkben egy 50-es értéket, akkor hátha átverhetem a rendszert. Ott volt publikusan egy mező, hogy mennyi legyen az ár. Ő kitöltötte. BKK Humble Bundle.
2. Nem változtatott meg adatot. A rendszer kért tőle egy árat, ő adott egyet. Technikailag a requestben átküldött adat a szerver számára új.
6. Kárt jelenleg a srác szenvedett, 50 Ft-ot.

A Kúria vélhetően nem lesz elég, ha ezt az ügyet még most az elején nem dobják, akkor mehet Strasbourgig.

Az érvelésed szerintem több ponton is sántít:
- ha például egy regisztrációnál két szóközt írok a vezeték- és keresztnevem közé, és ezért törlődik a user adatbázis, akkor hogyan bizonyítom hogy nem szándékosan tettem? Ilyen alapon nincsen hibás program, csak rosszindulatú felhasználó
- a konkrét esetben tudtommal nem történt károkozás, a bérlet nem lett felhasználva utazásra
- a böngészőmben futó weboldalon lévő gomb az szerver oldal? Ez nekem új :D Ennyi erővel már egy weblap megnyitása is szerver oldali beavatkozásnak számít

"Ezt bizony az úriember elkövette, ugyanis amikor átírta a POST metódus adatait, túllépte a jogosultságait."

Semmi sem utal jogosultság túllépésre. Megváltoztatott egy számot a saját gépén, de milyen jogosultságot lépett át? Ki állapította meg az ő jogosultságának a határait? Ki közölte azt vele?

A küldés gomb megnyomásával lépte át. Az Ő jogosutsága a kiszolgáló által előállított és átadott oldalon keresztül történő vásárlásra szólt. Vagy felétek a websopokban történő vásárlás az URL-ek kézzel történő szerkesztgetésével történik?
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Nem, felénk nem kiajánljuk az árat webshop felhasználóknak, h azt szerkeszthessék, hanem a szerveren tároljuk és számoljuk.

"Az Ő jogosutsága a kiszolgáló által előállított és átadott oldalon keresztül történő vásárlásra szólt."

Erre van valami objektív igazolás?

Nem. A szerverhez intézett egy kérést, amit az, mint inputot minden validálás nélkül (OWASP Top10-ből a legelső) elfogadott, és a kért tranzakciót végrehajtotta. Egy rosszindulatú add-on, egy proxy, egy vírusszűrő simán belenyúlhat a http "GET"-be, és módosíthat benne bármit. Ilyen erővel egyébként a sütik default kihajítása/el nem fogadása is jogosulatlanmódosításnak és btk.-s tettnek minősülne, hiszen azt is a szervertől kapta, a munkamenet működésének biztosítására.

(Hogy ez most POST vagy GET volt, gyakorlatilag mindegy - ha GET, akkor persze plusz b++ a fejlesztőnek, az idempotens(nek szánt) metódus alkalmazásáa miatt.)

"információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,"
Ezt bizony az úriember elkövette, ugyanis amikor átírta a POST metódus adatait, túllépte a jogosultságait.

Melyik információs rendszerről beszélsz itt?

Az információs rendszer, egyszerűsítéssel, minden olyan rendszer mely két vagy több fél közötti információ(k) átadására, továbbítására szolgál. Információs rendszer lehet pl. a post-it tömb amivel a munkatársakkal üzengetünk egymással. Információs rendszer a posta. De információs rendszer az internet is.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

kinek a rendszere az internyiet? tyé szisztemka? davaj! tulajdonjogra utaló megfogalmazás van a nyomi paragrafusodban. hoppá. tudatlan vagy mind IT, mind jogászkodás terén. ha te vagy a tyè szisztemsz, akkor ennél kurvára jobban kell készen legyél a témából. ez lófütty eddig. egy félrészeg ügyvéd bal fonákkal seggre ültet. eddig nyerésben a robin hoodunk!

Én pontosan azt állítom, hogy csak akkor léphette volna túl a jogosultságait, ha egyáltalán lett volna erre valamiféle jogosultságellenőrző rendszer. El lehet persze csámcsogni jogilag azon, hogy ha egy GUI-ra egy adott funkció nincs kivezetve, de egyébként simán elérhető és semmi meg sem próbál akadályozni a használatában, akkor az implicit jogosultság-korlátozó intézkedésként értelmezhető-e. De ha egy ilyen érvelés elfogadható, annak beláthatatlan következményei vannak, webes API-val elérhető szolgáltatásokra vagy bármilyen módon történő webes automatizáció (web crawling, vagy akárcsak curl) nem szándékolt módon kriminalizálódhatna.

A BTK 300.§ esetén valóban nem hatóság a BKK, viszont időkorlátot sem látok a hatóság értesítésére. Ha a srác együttműködik a rendőrökkel, akkor ez hivatkozási alap lehet. A helyes cselekedetre utaló szándék mindenképpen felfedezhető. A bíróságnak pedig az is dolga, hogy megpróbálja az eseményeket a törvény szellemisége szerint is értelmezni, ne csak a betűjéhez ragaszkodva.
---
Régóta vágyok én, az androidok mezonkincsére már!

figyu jogászkám
az én böngészőmben azt írok át amit akarok az én gépemen. a te szar weboldalad ha ezt nem kezeli le, akkor ott nem én vagyok a hiba, te nem tudsz weboldalt csinálni. nekem erről nincs papírom se, hogy értek hozzá, de 10 éve nekifutottam egy webshopnak, laikusként jobb végeredmnnyel. sokkal de sokkal jobbal. tudod vannak kész termékek ingyen (kontra 45M eur). biztonságosak, van bennük önvédelem. minden eshetősgre külön.
nem nyúlt senki a te kis privát rendszeredhez. az én gépemen minden az enyém. a te weboldalad cookie-ai is. az én gépem az én rendszerem, nem a t-systemsè, nem a magyar bíróságé.
megengedhetem neked hogy cachelgethess a gépemen hogy mennyen a szar weboldalad, de meg is tilthatom, hogy "kesselgess". mindkét verzióra kész kell legyen az oldalad. ha 2017 ben az oldalad nincs felkszítve a most már nyilvánvaló kisiskolás próbálkozások ellen, akkor az nagy gáz. ne a paragrafusokat ragadd ki a teljes kontextusból! mi vagy te valami nyomi jehovista? ez a "tetves bűnöző" átírva a post adatokat nem lépte át a hatáskörét aranyom, mert az ő gépe az ő hatásköre. egy rendőrnek van hatásköre, nem Interet Pistikének.
a srácnak nem a rendőrségre kellett volna mennie okoska, kuvára nem oda. onnan tudod hova küldték volna két fánk evés között? na tipp? valami? leesett?
alig várom hogy az ország legjobb jogászai ingyen képviseljék őt és darabokra szedjenek titeket weboldalastul!

A BKK elleni hekkertámadás, szerintem úgy nézett ki, hogy a rendszer indulása után boldog-boldogtalan scriptkiddie ráficcent a rendszerre, hogy most gyorsan megfűzi a rendszert és ingyé' szerez majd jegyet, bérletet, és mekkora kibaszott nagy királyság lesz az. Még azt is megkockáztatom, hogy nem a szerencsétlen kölyök volt az egyetlen aki megtalálta ezt a hibát.

Amennyiben a rendszerem normál használata közben talál egy hibát. Akkor megköszönöm és javítom.
Amennyiben a rendszerem normál használata közben talál egy hibát és közli, hogy sürgősen javítsam, mert szar és ha nem teszem, akkor megszellőzteti a nyilvánosság előtt. Akkor megköszönöm, és rárúgatom az ajtót a rendőrökkel.
Amennyiben a rendszerem nem normál használata közben (fuzzing, flood, injektálás) közben talál egy hibát. Akkor megköszönöm, behívom beszélgetni, és elvitetem a rendőrökkel.

--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

"Ezután, mikor megijedt attól, hogy faszrahúzzák, kitálalt az összes sajtóterméknek akit csak elért."

Ezt milyen forrásból szeded? Más forrás úgy írja le a sztorit, hogy a srác előbb felvette a BKK-val a kapcsolatot, akik leszarták. Ezért fordult a sajtóhoz.

De persze lehet rosszindulatúan hozzáálni, és a rosszat feltételezni. Csak épp bizonyíték van-e arra amit mondasz?

Kiemelem ismét, hogy "más forrás szerint", tehát valamelyik cikkben olvastam. Nem jobban bizonyított mint a te vélekedésed, csak kevésbé rosszindulatú.

https://444.hu/2017/07/20/18-eves-fiatal-jelezte-a-bkk-nak-hogy-50-fori…

Nézzük az eseményeket:
Talál egy lyukat a rendszerben.
Szól a BKKnak.
Nincs válasz.
Dabóczi bejelenti, hogy picsázás lesz a rendszer piszkálásából.
Hősünk nyilatkozik az RTL Klubnak, és miután lenyomták a műsort jelentkezik a 444.hu-nál is.

Nos, ez az olvasatomban vagy azt jelenti, hogy
a, celeb akar lenni a gyerek
b, megijedt, és a közvéleményt maga mögött akarja tudni

Az átlagemberek nem szeretnek rivaldafényben lenni, itt meg itt egy srác aki hirtelen TVnek, az egyik hírportálnak nyilatkozik.
Ha te egy átlag hacker netes biztonsággal foglalkozó ember lennél (fehér, fekete, vagy barna kalapos az mindegy), akkor szeretnéd az arcodat a TVben viszontlátni?
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

mikor lesz mar errol bukas es/vagy risitas video?

--
Allitsuk meg Andorrat!

"A BKK és a T-Systems Magyarország közös állásfoglalása

[...]

A T-Systems Magyarország az informatikai rendszerét ért jogosulatlan befolyásolás miatt ismeretlen tettes ellen (és nem egy konkrét személy ellen) tett feljelentést. A T-Systems Magyarországnak - szigorú belső protokollja szerint - az általa fejlesztett rendszerek védelmében egy adott szintet elérő esemény esetében kötelessége ezt megtenni. Ebben az esetben sem tehetett mást.

Ugyanakkor a BKK és a T-Systems Magyarország vezérigazgatói sajnálattal értesültek arról, hogy a gyanúsított egy fiatal diák, aki a médiában megjelent nyilatkozatai szerint jószándékkal járt el."

(http://www.t-systems.hu/hirek-es-media/hirek/osszes-hir/a-bkk-es-a-tsys…)

Szabad forditasban:

kozos allasfoglalas = a bkk es a t-systems megbeszeltek, hogy milyen hazugsaghoz tartjak magukat
ismeretlen tettes ellen tettunk feljelentest, nem egy konkret szemely ellen (de amugy igy es igy hivjak, ez a telefonszama, email cime, lakcime, etc)

Remélem felfigyel rá egy komoly ügyvéd és meglátja benne a potenciális reklámot és ingyé bevállalja megfingatni a kedves T-t. A gyerek meg majd egy vaskos pénzkupaccal kezdheti az életét, kártérítés gyanánt.

--
openSUSE 42.1 x86_64

Nem "megfingatás" lesz, hanem a gyanúsított elítélése, mert az ügyész és a bíróság is úgy fogja látni hogy törvénybe ütköző dolgot tett, mert jogász szemmel így van (kivéve ha fentről leszólnak hogy nem kéne - de ezt és ennek következményeit aligha fogják bevállalni). A szándék majd csak az ítélet súlyosságát befolyásolja - esetleg. Kártérítésről pedig elítélő végzés után természetesen szó sem lehet, lévén a polgári bíróság büntető ítéletet nem vizsgál.

Tényleg úgy működött az oldal, hogy a böngésző küldte el a szervernek, hogy mennyit kell fizetnie? Tényleg nem tudom elhinni.
És utána javították mondjuk fél nap alatt egy olyan hibát ami sejteti, hogy architekturalisan el van cseszve az egész?
És utána még keménykednek egy tizenévessel.
És mindezt a T-systems követte el ?

nem. tényleg nem.
csak a zertéjelklub találta ki.
mesebeszéd.
tökéletes volt. megfoghatatlan leírhatatlan utólérhetetlen utánozhatatlan tömény tökéletesség

most màr nem az, mert időközben gyerekek miatt hozzá kellett nyúljanak, és csorbult így a tökéletessége. dehát ez van, a mi biztonságunkat szemelőtt tartva feláldozták a tökletességet. jobb így. sajnàlom òket. szeretném vissza a 0.0.1-early-alpha verziót!

eladó a darkneten a bkk ügyből származó adatbázis. személyi igazolvány, lakcím, név, jelszó, email, banki adat kombinációk. valakiket biztosan érdekel majd. lehet kamu, hiszen nem történt adat lopás...

Tényleg kemény időket élnek a 444-nél, mikor az írás alapjául szolgáló 24.hu-s hírmorzsán kellett vagy ötöt kavarni a buzzfeedes moslékos kanállal, hogy a maradék olvasótáboruk élvezettel dugja bele a turcsi orrát.
No rainbow, no sugar

"szar a webjegye"
"annyira béna"
"szar a BKK rendszere"

Bár biztosan sokan vannak, akiknek ez a stílus(talanság) tetszik, és biztosan kisebbségben vagyok azzal a véleményemmel, hogy ez nem "újságírás" vagy "hírközlés". A "cikk" alapjául szolgáló 24.hu-s forrás megfogalmazásának minősége lényegesen magasabb (persze később az éjszakai berontásból reggeli hét órás bekopogás lett, de ez már nem a külcsín, hanem a belbecs).

Felmerül a kérdés, hogy a T-Mobile-hoz (ill. Telekomhoz) be kell-e menjünk, hogy a fejükre borítsuk-e az asztalt (gondolom, te ezen már túl vagy). Vagy elég, ha csak visszamondjuk a velük kötött szerződéseket? (Nekem nem szükséges, szerencsére évek óta nem vagyok velük szerződésben.)

Meg is érkeztünk :)
A topik nyitása így szól (amire írtam a felvetést):
"Kedves ottani kollégák! Vajon csak ültök, mint nyuszi a fűben, vagy ráborítottátok már az asztalt a főnökre?"
Gondolom, a takarító-portás-rendszergazda-fejlesztő se szól bele többet a napi bizniszbe, mint a tulaj.