A Készenléti Rendőrség Nemzeti Nyomozó Iroda (KR NNI) Kiberbűnözés Elleni Főosztály nyomozást indított információs rendszer felhasználásával elkövetett csalás bűntette miatt D. Zsolt ellen. A 25 éves budapesti férfi 2019. december 8. és 2020. január 20. között egy műszaki cikkeket árusító webáruház informatikai rendszerét hackelte meg.
[...]
Az internetes támadás következtében az oldal úgy érzékelte, hogy a csaló az általa 22 alkalommal megrendelt nagyértékű elektronikai eszközök árát kifizette, ami valójában nem történt meg. Az így megszerzett okostelefonok, okosórák, játékkonzolok, laptopok és az ezekhez tartozó alkatrészek egy részét megtartotta saját magának – illetve ismerőseinek –, a maradékot pedig továbbértékesítésre szánta.
[...]
A rendőrök 2020. február 19-én egyszerre tartottak kutatást a férfihoz köthető több lakcímen, és lefoglalták a bűncselekményekből származó – összesen 8 millió forint értékű – elektronikai eszközöket.
Részletek itt. További részletek az RTL Híradó tegnap esti adásában, 11:01-től.
Hozzászólások
További részletek az RTL Híradó tegnap esti adásában, 11:01-től.
Egyszerű megítélni a dolgot. Ha az értékhatárt átlépte, akkor bűnügy. Nem tudom, hogy az informatikai rész önmagában is büntetendő-e vagy minősítő tényező-e.
Ha nem értékesítette volna tovább, akkor is az lenne. Etikusnak akkor lehetne esetleg tekinteni, ha rendelt volna egy kis értékű valamit, amit kiszállíttat, de nem vesz át. Majd ezt dokumentálva értesíti az érintett feleket. 8 millió összértékű, többszöri próbavásárlás nem életszerű akkor sem, ha nem adta tovább.
etikusnak akkor lehet tekinteni, ha előtte felkérik, szerződést kötnek, megtervezik mi fog történni, mi lesz a terv, egyeztetett időpontban DOKUMENTÁLTAN elvégzi a munkát, majd átadja a dokumentációt. ha átmegyek felásom a kertedet, joggal követelek munkabért?
Ezért írtam, hogy esetleg. A legtisztább az, amikor szerződéssel rendelkezik. Ha közüzemről van szó és mondjuk milliókat érint egy esetleges hiba feltárása, ott esetleg el tudom fogadni a "szerződés nélkül, a köz érdekében" elkövetett, de tényleg csak a feltárásra irányuló tevékenységet. Azonnali bejelentés mellett. Egyszer. És nem nyereségvágyból.
le kell szarni ha rájössz ilyenre. fenének buzgómocsingoskodni? csak beszopod a liberális jogrendszerben...
vagy ugy megoldani, hogy ip-d ne legyen visszakereshető, külföldi proxyn keresztül, vagy valami nyitott wifin az ország másik végéről.... és egyszer kell szakítani, vagy havonta-kéthavonta amig nyitva a rés...
" isten nem bizonyitja rád. " itt termék vásárlásáról van szó, amit valahova ki kell szállítani, amit valakinek át kell venni. A gyanu esetén (tehát a kereskedő tudja, hogy valaki nemfizetősen "vásárol" a webshopból) a második átvételnél talán, a harmadiknál meg szinte biztos, hogy lekapcsolás következik.
ma megrendelem, feladják, másnap ott van. mire könyvelés észreveszi 3-4 nap. egy honap mulva megint eljátszom... vagy egyszer kell nagyot dobni, és kész.
Az volt az alapfeltételezés, hogy "a kereskedő tudja, hogy valaki nemfizetősen "vásárol" a webshopból". Ez esetben nem 3-4 nap, hanem egyből kiderül, mert a kereskedő már felfedezte a hibát.
Ehhez kelleni fog egy eldobható/anonim telefonszám is, ami -ha jól tudom- a jelen szabályozás mellett nem létezhet. Ha mégis, akkor szegény Bélát fogják meghúzkodni. Hacsak nincs a háza előtt egy térfigyelő kamera.
Pár hónapja rendeltem valamit az egyik webshopból, a visszaigazoló emailben www.valamiwebshop/rendeles/3278123 url szerepelt, mint link ahol követhetem a rendelésem állapotát. (oké a rendelés id base64-vel "titkosítva" volt)
Kipróbáltam és más id-vel rendelkező, nem saját rendelések adatait is le tudtam kérni. Reportoltam nekik, állítólag javították is.
Igen. Plusz ezzel a cselekmennyel ki is meritetted a torvenyi fogalmat. Itt a motivumokon lehet meg filozofalgatni. Olyan mint a jarmu onkenyes elvetele.
Every single person is a fool, insane, a failure, or a bad person to at least ten people.
Beírhatja az anyja nevét is. Azt nem teheti meg, hogy akár ezzel az eszközzel, akár mással informatikai rendszerben anomáliát idéz elő, adatot módosít, hamisít, stb. Ennyire nem nehéz, érted is, csak keresed a csomót a kakán. Eléág perverz dolog.
Amit leírtál, az a megbízott IT biztonsági auditor. A véletlenszerű helyen, véletlenszerű komponensen, véletlenszerű időben elkövetett hackelésnek pont az lenne az értelme, hogy olyan hibákat fogjunk, amire az érintett nem készült fel, vagy éppen szart rá. A megbízással való, előre dokumentált hackerkedés a legtöbb esetben életszerűtlen. A fenti eset (és még sok más hasonló) is bizonyítja, hogy spontán lehet a legfájóbb hibákat, biztonsági réseket megtalálni egy rendszerben.
Etikus hacker az a hacker, aki a lehető legkisebb károkozással bebizonyítja, hogy egy rendszer feltörhető, majd erről értesíti az illetékeseket. Alapvetően ez persze a white-hat hacker definíciója, de én minden white-hat hackert alapból etikus hackernek tekintek, akár van megbízása, akár nincs.
Abban egyetértek, hogy nem követelhet munkabért, ha a hackelésben érintettnek nincs valamilyen bounty programja, ami alapján igen. Etikusnak addig tekinthető, amíg a megszerzett információkat nem osztja meg az érintetten kívül harmadik féllel és nem használja saját haszonszerzésre. Viszont az érintettől is elvárható, hogy nem azzal indít, hogy feljelenti, ha már volt olyan felelőtlen trehány disznó, hogy köpött a rendszere biztonságára, netán elspúrkodta az ehhez szükséges költségvetést az extraprofit érdekében, mindezzel százezrek, milliók személyes adatát kockáztatva, hogy az később valódi kiberbűnözők kezébe kerüljön.
Azt hittem, hogy legalább itt a HUP-on világos a többségnek, hogy valaki nem lehet etikus hacker, ha nem kérik fel az adott feladatra. Nem, akkor sem, ha nem okoz kárt és jelzi a hibát! Ez eleve kizárja az etikus hackelést, a kifejezés definíciója miatt.
Az informatikai rendszerek jogosulatlan módosítása, manipulálása bcs. Akkor is, ha semmit nem vett volna, csak a lehetőséggel játszadozott volna. Telekom ügy, emlékszünk?
+1, és a "hekker" gondolom a rendeléseket a saját postacímére kérte. Erre szokták rendőrségi szakértők azt a kifejezést használni, hogy "kódolva volt a bukás lehetősége'. :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Az elég furcsa lenne: Hogy lenne leltárhiány, ha rendes rendelésként adta le? (de ha így is lenne, akkor is valószínű megnéznék, hogy mi hiányzik, ki rendelte, hogyan, majd ez alapján rájöttek a hibára)
Ez a leltár azonnal fájt.
Egy webshopban 20 millás kár, és leltár... Na... A "just in time as possible" világában... Nem tűnt fel, hogy valaki átvett 100 telefont? Egyszerűen a rendőrök töketlenkedhettek, amíg oltári-hatalmas-különösen-nagyértékű nem lesz a fogás.
Most volt év eleje, év elején mindenhol leltárral kezdenek. Lehet, hogy a black friday/karácsonyi őrületben fel sem tűnt. Viszont leltárkor azért kiderül, ha 8 milliónyi áru hiányzik.
A valóságban nem ennyi a leltár. Össze szokták vezetni a könyveléssel is, adminisztrációs és könyvelési hibákat keresve.
Gondolom ez utóbbi ponton bukott le, hogy rendelés volt, de a könyvelésen hiányzott a másik lába (pénz nem volt). Egyébként ugyan ezen módszerrel találják meg, hogy mondjuk a raktár felelős lop (a saját oldalát ki tudja írni, de a másik lábat a könyvelésben nem tudja módosítani).
Dolgoztam egy helyen, IT supportot adtam nekik, behívtak egyszer egy leltárra is.
Egy kb ~100 milliós éves forgalmú papír-írószer (kb 2000 féle termék) raktárépület.
Párokba állították a dolgozókat, akik egy vonalkódolvasóval végigmentek a raktáron, mindent beolvastak, darabszámot tettek mellé. Aztán párcsere, másik páros is végigment ugyanott. Ha egyezett, akkor NA és most jön a kemény dolog:
Akkor törölték az aktuális leltárkészletet és felvezették bele az új, beolvasottat.
Akármekkora hiány lehetett volna, maga a módszer nem volt alkalmas arra, hogy akár egy tízmilliós hiányt is kibuktasson. Persze radírból sokat kellene hozzá lopni. Ez az igazi leltár :D Mindig minden megvolt!
Igazából a hackelés pont erről szól: egy meglévő interface-t nem arra hivatott módon használsz
Amúgy az ügy jogi megítélése szempontjából lényegtelen: ugyanúgy lopásnak számít az is, ha beülsz egy autóba és elhajtasz vele akkor is, ha valaki csak benne felejtette a kulcsot
A riportban elhangzik, hogy a gyerek nem is értett hozzá. Éppen ezért az fordult meg a fejemben, hogy simán láthatóan átadott kulcs-értél párokkal használhatta ki a weblapot. A szakértő célzott rá, hogy a weblap is olyan, hogy kihasználható. Nemrégiben a BKV jegy értékesítésénél volt ilyesmi: /?jegy=fizetve&ara=3ft&tipus=felnotthavi. Ezt a legostobább ember is ki tudja használni.
Volt már olyan eset, hogy a lopást annak tényében minősítették jármű önkényes elvételére, hogy a menet közben megállított tolvajok azt nyilatkozták a rendőröknek, hogy csak kocsikázni indultak... - De egyébként igen, ha van kulcs benne és úgy viszi el, az is szándékosságot feltételez. Viszont ha nincs tudomása arról, hogy rossz helyen jár, akkor a szándékosság nem állja meg a helyét (itt visszautalok (alább) a facebookos példára - ha a neten olyan területre tévedek, ami elszarás miatt publikussá van téve, akkor ott nem állja meg a helyét a szándékos visszaélés -szerintem legalábbis...)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Szerintem van a képletben még egy ember, aki egy kicsit ért az URL-ekhez is. Ő kitalálta, de parázott, ő volt a passzív. Aktív ember, épp nincs munkája vagy egyébként is csibészkedik, bevállalta. Ment is a dolog, örültek. Aztán aktív lebukott. Nem dobta fel passzívot, mert a buli elején passzív puhap@cs volt és 50-50 helyett 10%-ot kért csak, sőt lehet nem is kapott semmit, csak az elején 50e Ft-ot. Ezután passzív nem tudta azt mondani, hogy együtt csinálták.
Az túl naiv elképzelés a részemről, ha ilyen esetekben a károsult webshop ellen is folytatnának egy rövidke kivizsgálást, hogy igen, ők mindenben megfelelően jártak el informatikai oldalról (+ akár egy GDPR megfelelőség is akár, ha már létezik). Ahogy korábban is írták mások, azért elég erősen felmerül a gyanú, hogy milyen szar rendszer lehetett az, amit most "meghekkeltek". És lássuk be, valószínűleg senkinek se hiányoznának az ilyen, vépristikék által tákolt rendszerek.
Később,ha meg tényleg komolyabb breach van és kikerülnek érzékeny adatok is, akkor meg csak küldenek egy email-t, hogy elnézést, de megszívtad?
> Az túl naiv elképzelés a részemről, ha ilyen esetekben a károsult webshop ellen is folytatnának egy rövidke kivizsgálást, hogy igen, ők mindenben megfelelően jártak el informatikai oldalról (+ akár egy GDPR megfelelőség is akár, ha már létezik).
Tudtommal a BKV és a Telekom ellen sem történt ilyen vizsgálat, szóval valószínű ez nem szokás.
> Ahogy korábban is írták mások, azért elég erősen felmerül a gyanú, hogy milyen szar rendszer lehetett az, amit most "meghekkeltek"
Több külső jel van rá, hogy a banki rendszerek is ebbe a kategóriába tartoznak én amiatt jobban aggódnék.
> Később,ha meg tényleg komolyabb breach van és kikerülnek érzékeny adatok is, akkor meg csak küldenek egy email-t, hogy elnézést, de megszívtad?
A GDRP kiterjed erre: British Airways (BA) could be slugged with a £183 million (AU$328m) fine over a data breach it disclosed in September 2018, months after the EU’s new GDOR privacy laws allowed regulators to impose fines of up to four percent of an organization’s global annual revenues.
Arra gondoltam, hogy szerintem jó lenne, ha lenne ilyen kivizsgálás. Tudom, hogy jelenleg nem létezik ilyen.
GDPR vizsgálat csak feljelentés, vagy saját GDPR felelős által történt bejelentés után lehet csak tudtommal (de fixme). Szóval, adott esetben, ha kiküldik az emailt és nem tesz senki bejelentést a megfelelő helyen, akkor ennyi is volt.
Es mi lenne a vizsgalat eredmenye? Nyilvan kiderulhetne, hogy szar a rendszer. Es? Mi az a torveny amit megsertettek? Mi a kovetkezo lepes? Szerintem az allam kozpenzen ne vegezzen ingyenes tanacsadast ilyen cegeknek...
Mondjuk szerintem az ország gazdasági/biztonsági szempontjából pozitív lenne, ha lenne egy állami szerv, ami folyamatosan teszteli a hazai vállalatokat különféle it biztonsági szempontokból (publikus sérülékenységek, általánosan elkövetett hibák) és értesít, ha hibát talál.
(ez egyébként is megtörténik, csak külföldi szervezetek által és az értesítés része kimarad)
Nem egeszen: A weboldal alapjan nem derult ki egyertelmuen, hogy ez barki szamara elerheto-e, de ha igen akkor is csak kulon megallapodas utan, ami van egy olyan erzesem, hogy a legtobb ceg eseteben nem fog letrejonni.
Nem. Nem jarnank jol ezzel. Csak lenne meg egy vizfeju tarsasag, jo sok adminisztracioval, sok sok power point prezentacioval, hogy mekkora jok, milliardos koltsegvetessel, stb. Nem hianyzik ez.
Az allam inkabb oktatast adjon, vagy mas modon segitsen, a piac majd eldonti az ilyen cegek sorsat... Az orszag meg azzal jar jol, ha sok olyan ceg van ami a sajat laban megall.
Miért építené le? Sokkal célravezetőbb saját malware-jét beépíteni a rendszerbe, majd bezárni a sebezhetőséget. A lebukás esélye pedig már úgy is minimális, ha csak tor-t használ.
Hogy konkrét törvényt sért-e az jó kérdés, de azért adatkezelési elvárásoknak meg kell felelni (gdpr), és nyilván a webshop is tett olyan kijelentéseket (anélkül hogy tudnám melyik - tuti tett) a weboldalán, hogy "biztonságos fizetés" és a társai.
A GDPR a személyes adatokat védi.
Ha olyan sampont veszel, ahol a webshop azt írja rá, hogy "nincs több könnycsepp", aztán mégis csípi a szemet, az nem sérti a GDPR-t, mert nem került ki személyes adatod.
Ha felírják a webshopra, hogy biztonságos fizetés, és közben nem az; de személyes adataidat az előírt módon kezeli, akkor az sem sérti a GDPR-t.
Ugyanakkor ha a webshopban a rendelés URL-jét módosítva mondjuk meg tudod nézni egy másik személy rendelését (különösen, ha a neve-címe is ott van), akkor az már sérti a törvényt.
Szerintem ő is azon bukott el, hogy nem állt le a rendelésekkel.
Amikor már 2 hete rendelgetett, és nála volt vagy 1-2 millányi áru, akkor ahogy elnézem a tudósítást, simán megúszhatta volna még. Az sem derült volna ki, hogy hová lett a holmi.
Hozzászólások
További részletek az RTL Híradó tegnap esti adásában, 11:01-től.
trey @ gépház
Egyszerű megítélni a dolgot. Ha az értékhatárt átlépte, akkor bűnügy. Nem tudom, hogy az informatikai rész önmagában is büntetendő-e vagy minősítő tényező-e.
> Sol omnibus lucet.
Esetleg a TASZ-t meg kérne kérdezni róla ...
trey @ gépház
Mivel továbbértékesítette egy részét már üzletszerűen elkövetett
Ha nem értékesítette volna tovább, akkor is az lenne. Etikusnak akkor lehetne esetleg tekinteni, ha rendelt volna egy kis értékű valamit, amit kiszállíttat, de nem vesz át. Majd ezt dokumentálva értesíti az érintett feleket. 8 millió összértékű, többszöri próbavásárlás nem életszerű akkor sem, ha nem adta tovább.
trey @ gépház
etikusnak akkor lehet tekinteni, ha előtte felkérik, szerződést kötnek, megtervezik mi fog történni, mi lesz a terv, egyeztetett időpontban DOKUMENTÁLTAN elvégzi a munkát, majd átadja a dokumentációt. ha átmegyek felásom a kertedet, joggal követelek munkabért?
Aki másnak vermet ás, az stack pointer.
Itt nem volt ilyen életszerű a helyzet. A srác észlelte a hibát szerződés hiányában is. :-)
Aki másnak vermet ás, az stack pointer.
Ennyire tetszik? Tedd be aláírásnak. :-D
Nekem is tetszik. Trey egyik mániája.
Tasszal álmodik? XD
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Észlelte <> üzletszerűen kihasználta
trey @ gépház
Ezért írtam, hogy esetleg. A legtisztább az, amikor szerződéssel rendelkezik. Ha közüzemről van szó és mondjuk milliókat érint egy esetleges hiba feltárása, ott esetleg el tudom fogadni a "szerződés nélkül, a köz érdekében" elkövetett, de tényleg csak a feltárásra irányuló tevékenységet. Azonnali bejelentés mellett. Egyszer. És nem nyereségvágyból.
trey @ gépház
le kell szarni ha rájössz ilyenre. fenének buzgómocsingoskodni? csak beszopod a liberális jogrendszerben...
vagy ugy megoldani, hogy ip-d ne legyen visszakereshető, külföldi proxyn keresztül, vagy valami nyitott wifin az ország másik végéről.... és egyszer kell szakítani, vagy havonta-kéthavonta amig nyitva a rés...
isten nem bizonyitja rád.
Aki másnak vermet ás, az stack pointer.
" isten nem bizonyitja rád. " itt termék vásárlásáról van szó, amit valahova ki kell szállítani, amit valakinek át kell venni. A gyanu esetén (tehát a kereskedő tudja, hogy valaki nemfizetősen "vásárol" a webshopból) a második átvételnél talán, a harmadiknál meg szinte biztos, hogy lekapcsolás következik.
Tóth Béla. Kaposvár futrinka utca 5. Odamegyek megvarom a futart. Nyilván sok100 ezres tetelnel...
Aki másnak vermet ás, az stack pointer.
Gyanú esetén ott lesznek a sarkon a rendőrök és amint átveszed már kész is a tettenérés.
ma megrendelem, feladják, másnap ott van. mire könyvelés észreveszi 3-4 nap. egy honap mulva megint eljátszom... vagy egyszer kell nagyot dobni, és kész.
Aki másnak vermet ás, az stack pointer.
Az volt az alapfeltételezés, hogy "a kereskedő tudja, hogy valaki nemfizetősen "vásárol" a webshopból". Ez esetben nem 3-4 nap, hanem egyből kiderül, mert a kereskedő már felfedezte a hibát.
Ehhez kelleni fog egy eldobható/anonim telefonszám is, ami -ha jól tudom- a jelen szabályozás mellett nem létezhet. Ha mégis, akkor szegény Bélát fogják meghúzkodni. Hacsak nincs a háza előtt egy térfigyelő kamera.
Van az a tétel (és nem is olyan nagy), aminél már megéri kártyát szerezni neked is és az eladójának is.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Pár hónapja rendeltem valamit az egyik webshopból, a visszaigazoló emailben www.valamiwebshop/rendeles/3278123 url szerepelt, mint link ahol követhetem a rendelésem állapotát. (oké a rendelés id base64-vel "titkosítva" volt)
Kipróbáltam és más id-vel rendelkező, nem saját rendelések adatait is le tudtam kérni. Reportoltam nekik, állítólag javították is.
Most akkor etikátlan voltam?
Igen. Plusz ezzel a cselekmennyel ki is meritetted a torvenyi fogalmat. Itt a motivumokon lehet meg filozofalgatni. Olyan mint a jarmu onkenyes elvetele.
Every single person is a fool, insane, a failure, or a bad person to at least ten people.
magyarul nem írhatsz be bármilyen url-t a böngésződbe, csak amit.... várjunk csak?
A szomszéd két kézzel szórja a húszezreseket az utcán, ami az övé. Ha meglátom és szólok neki, akkor bűnös vagyok?
Majdnem. Peelda annyibol rossz, hogy az ovevel azt csinal amit akar, ellenben ha a tied
Every single person is a fool, insane, a failure, or a bad person to at least ten people.
az url? a TIED? wut?
Beírhatja az anyja nevét is. Azt nem teheti meg, hogy akár ezzel az eszközzel, akár mással informatikai rendszerben anomáliát idéz elő, adatot módosít, hamisít, stb. Ennyire nem nehéz, érted is, csak keresed a csomót a kakán. Eléág perverz dolog.
"Olyan mint a jarmu onkenyes elvetele." Szerintem nem jó hasonlat, inkább levéltitok megsértése, ha jól értelmezem a szándék is mindegy.
Amit leírtál, az a megbízott IT biztonsági auditor. A véletlenszerű helyen, véletlenszerű komponensen, véletlenszerű időben elkövetett hackelésnek pont az lenne az értelme, hogy olyan hibákat fogjunk, amire az érintett nem készült fel, vagy éppen szart rá. A megbízással való, előre dokumentált hackerkedés a legtöbb esetben életszerűtlen. A fenti eset (és még sok más hasonló) is bizonyítja, hogy spontán lehet a legfájóbb hibákat, biztonsági réseket megtalálni egy rendszerben.
Etikus hacker az a hacker, aki a lehető legkisebb károkozással bebizonyítja, hogy egy rendszer feltörhető, majd erről értesíti az illetékeseket. Alapvetően ez persze a white-hat hacker definíciója, de én minden white-hat hackert alapból etikus hackernek tekintek, akár van megbízása, akár nincs.
Abban egyetértek, hogy nem követelhet munkabért, ha a hackelésben érintettnek nincs valamilyen bounty programja, ami alapján igen. Etikusnak addig tekinthető, amíg a megszerzett információkat nem osztja meg az érintetten kívül harmadik féllel és nem használja saját haszonszerzésre. Viszont az érintettől is elvárható, hogy nem azzal indít, hogy feljelenti, ha már volt olyan felelőtlen trehány disznó, hogy köpött a rendszere biztonságára, netán elspúrkodta az ehhez szükséges költségvetést az extraprofit érdekében, mindezzel százezrek, milliók személyes adatát kockáztatva, hogy az később valódi kiberbűnözők kezébe kerüljön.
Akkor úgy mondom ez minősített esete:
Azt hittem, hogy legalább itt a HUP-on világos a többségnek, hogy valaki nem lehet etikus hacker, ha nem kérik fel az adott feladatra. Nem, akkor sem, ha nem okoz kárt és jelzi a hibát! Ez eleve kizárja az etikus hackelést, a kifejezés definíciója miatt.
Android: https://play.google.com/store/apps/developer?id=Artex+Games
iOS: https://apps.apple.com/developer/artex-studios-inc/id399983944#see-all/…
Ez nem erkölcsi, hanem jogi kérdés.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Számomra világos. További infókért lásd: Szegény SRÁC akinek beleakadt a farka a T-be
trey @ gépház
.
Az informatikai rendszerek jogosulatlan módosítása, manipulálása bcs. Akkor is, ha semmit nem vett volna, csak a lehetőséggel játszadozott volna. Telekom ügy, emlékszünk?
"Meghekkelte" a rendőrség szerint. Lol. El tudom képzelni:
http://joskawebbotja.faszom/?get=play_station&ar=190000&status=paid&nev…...
+1, és a "hekker" gondolom a rendeléseket a saját postacímére kérte. Erre szokták rendőrségi szakértők azt a kifejezést használni, hogy "kódolva volt a bukás lehetősége'. :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Az egyik képen egy csomó simkártya van, szóval valószínű nem otthonra kérte, hanem valami köztes átvevő pontra
A tény hogy elkapták, mutatja hogy mégiscsak volt egy rés a pajzson. :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Viszonylag egyszerű: webshopban rájöttek a hibára, megvárták amíg rendel, majd a rendőrség elkapta átvételkor.
A webshopban nem jöttek rá a hibára. Az RTL riportja szerint leltárhiány volt a raktárban, majd ez alapján tettek feljelentést.
trey @ gépház
Az elég furcsa lenne: Hogy lenne leltárhiány, ha rendes rendelésként adta le? (de ha így is lenne, akkor is valószínű megnéznék, hogy mi hiányzik, ki rendelte, hogyan, majd ez alapján rájöttek a hibára)
Nem tudom a részleteket. Nézd meg a videót. Kiemelték, hogy nem vették észre a webshopban. Leltáron bukott ki.
trey @ gépház
Ez a leltár azonnal fájt.
Egy webshopban 20 millás kár, és leltár... Na... A "just in time as possible" világában... Nem tűnt fel, hogy valaki átvett 100 telefont? Egyszerűen a rendőrök töketlenkedhettek, amíg oltári-hatalmas-különösen-nagyértékű nem lesz a fogás.
Szerintem a leltár alatt itt a könyvelést értették, amikor összevezették a webshop kimenő tételeit a számlakivonat befolyó tételeivel.
Hiánykor gondolom első lépésként leplaccolnak (összefésülik a beérkezett rendeléseket a beérkezett pénzekkel), ott már kibukik, hogy ki a hunyó.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Most volt év eleje, év elején mindenhol leltárral kezdenek. Lehet, hogy a black friday/karácsonyi őrületben fel sem tűnt. Viszont leltárkor azért kiderül, ha 8 milliónyi áru hiányzik.
trey @ gépház
A leltár az én felfogásom szerint: Megnézik, hogy az elektronikus nyilvántartásban szereplő mennyiség fedi-e a fizikailag jelenlévő termékek számát.
A valóságban nem ennyi a leltár. Össze szokták vezetni a könyveléssel is, adminisztrációs és könyvelési hibákat keresve.
Gondolom ez utóbbi ponton bukott le, hogy rendelés volt, de a könyvelésen hiányzott a másik lába (pénz nem volt). Egyébként ugyan ezen módszerrel találják meg, hogy mondjuk a raktár felelős lop (a saját oldalát ki tudja írni, de a másik lábat a könyvelésben nem tudja módosítani).
Zavard össze a világot: mosolyogj hétfőn.
vagy vannak a készpénzzel átvett rendelések, amik után elfelejtik befizetni az áfát :D
Dolgoztam egy helyen, IT supportot adtam nekik, behívtak egyszer egy leltárra is.
Egy kb ~100 milliós éves forgalmú papír-írószer (kb 2000 féle termék) raktárépület.
Párokba állították a dolgozókat, akik egy vonalkódolvasóval végigmentek a raktáron, mindent beolvastak, darabszámot tettek mellé. Aztán párcsere, másik páros is végigment ugyanott. Ha egyezett, akkor NA és most jön a kemény dolog:
Akkor törölték az aktuális leltárkészletet és felvezették bele az új, beolvasottat.
Akármekkora hiány lehetett volna, maga a módszer nem volt alkalmas arra, hogy akár egy tízmilliós hiányt is kibuktasson. Persze radírból sokat kellene hozzá lopni. Ez az igazi leltár :D Mindig minden megvolt!
nem is tudtam, h. már a .faszom is valid TLD :)
Anno a'rpi nickje megihletett a "faszom" szó használatára.
Igazából a hackelés pont erről szól: egy meglévő interface-t nem arra hivatott módon használsz
Amúgy az ügy jogi megítélése szempontjából lényegtelen: ugyanúgy lopásnak számít az is, ha beülsz egy autóba és elhajtasz vele akkor is, ha valaki csak benne felejtette a kulcsot
A riportban elhangzik, hogy a gyerek nem is értett hozzá. Éppen ezért az fordult meg a fejemben, hogy simán láthatóan átadott kulcs-értél párokkal használhatta ki a weblapot. A szakértő célzott rá, hogy a weblap is olyan, hogy kihasználható. Nemrégiben a BKV jegy értékesítésénél volt ilyesmi: /?jegy=fizetve&ara=3ft&tipus=felnotthavi. Ezt a legostobább ember is ki tudja használni.
> Nemrégiben a BKV jegy értékesítésénél volt ilyesmi: /?jegy=fizetve&ara=3ft&tipus=felnotthavi
Szerintem ez hackelésnek számít, de a jog nem ismeri ezt a fogalmat.
A wikipedia szerint: "someone who explores methods for breaching defenses and exploiting weaknesses in a computer system or network."
Ez nem feltételez semmi féle tudást.
A legsikeresebb fél-magyar hacker Guccifer egy aradi taxis volt, saját elmondása szerint mindenféle technikai háttér nélkül.
Az csak jogosulatlan használat. Feltéve, hogy a célnál kiszállsz belőle és mész a dolgodra.
"..lopásnak számít az is, ha beülsz egy autóba és elhajtasz vele akkor is, ha valaki csak benne felejtette a kulcsotm."
- nem feltétlen, ha később visszaviszed (avagy jelzed a szándékot), akkor csak jármű önkényes elvétele.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
> nem feltétlen, ha később visszaviszed (avagy jelzed a szándékot), akkor csak jármű önkényes elvétele.
Itt inkább a "ha később visszaviszed"-en van a hangsúly és nem az eltulajdonítás nehézségéről.
Volt már olyan eset, hogy a lopást annak tényében minősítették jármű önkényes elvételére, hogy a menet közben megállított tolvajok azt nyilatkozták a rendőröknek, hogy csak kocsikázni indultak... - De egyébként igen, ha van kulcs benne és úgy viszi el, az is szándékosságot feltételez. Viszont ha nincs tudomása arról, hogy rossz helyen jár, akkor a szándékosság nem állja meg a helyét (itt visszautalok (alább) a facebookos példára - ha a neten olyan területre tévedek, ami elszarás miatt publikussá van téve, akkor ott nem állja meg a helyét a szándékos visszaélés -szerintem legalábbis...)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Nem tudtad? Az is hekkelés, ha bejelentkezve maradsz a haver gépén fészbúkon, és ő ezt látva kiírja a faladra hogy "buzievagyok" :)
Szerintem van a képletben még egy ember, aki egy kicsit ért az URL-ekhez is. Ő kitalálta, de parázott, ő volt a passzív. Aktív ember, épp nincs munkája vagy egyébként is csibészkedik, bevállalta. Ment is a dolog, örültek. Aztán aktív lebukott. Nem dobta fel passzívot, mert a buli elején passzív puhap@cs volt és 50-50 helyett 10%-ot kért csak, sőt lehet nem is kapott semmit, csak az elején 50e Ft-ot. Ezután passzív nem tudta azt mondani, hogy együtt csinálták.
Még egy "hacker zseni".
Az túl naiv elképzelés a részemről, ha ilyen esetekben a károsult webshop ellen is folytatnának egy rövidke kivizsgálást, hogy igen, ők mindenben megfelelően jártak el informatikai oldalról (+ akár egy GDPR megfelelőség is akár, ha már létezik). Ahogy korábban is írták mások, azért elég erősen felmerül a gyanú, hogy milyen szar rendszer lehetett az, amit most "meghekkeltek". És lássuk be, valószínűleg senkinek se hiányoznának az ilyen, vépristikék által tákolt rendszerek.
Később,ha meg tényleg komolyabb breach van és kikerülnek érzékeny adatok is, akkor meg csak küldenek egy email-t, hogy elnézést, de megszívtad?
> Az túl naiv elképzelés a részemről, ha ilyen esetekben a károsult webshop ellen is folytatnának egy rövidke kivizsgálást, hogy igen, ők mindenben megfelelően jártak el informatikai oldalról (+ akár egy GDPR megfelelőség is akár, ha már létezik).
Tudtommal a BKV és a Telekom ellen sem történt ilyen vizsgálat, szóval valószínű ez nem szokás.
> Ahogy korábban is írták mások, azért elég erősen felmerül a gyanú, hogy milyen szar rendszer lehetett az, amit most "meghekkeltek"
Több külső jel van rá, hogy a banki rendszerek is ebbe a kategóriába tartoznak én amiatt jobban aggódnék.
> Később,ha meg tényleg komolyabb breach van és kikerülnek érzékeny adatok is, akkor meg csak küldenek egy email-t, hogy elnézést, de megszívtad?
A GDRP kiterjed erre: British Airways (BA) could be slugged with a £183 million (AU$328m) fine over a data breach it disclosed in September 2018, months after the EU’s new GDOR privacy laws allowed regulators to impose fines of up to four percent of an organization’s global annual revenues.
Arra gondoltam, hogy szerintem jó lenne, ha lenne ilyen kivizsgálás. Tudom, hogy jelenleg nem létezik ilyen.
GDPR vizsgálat csak feljelentés, vagy saját GDPR felelős által történt bejelentés után lehet csak tudtommal (de fixme). Szóval, adott esetben, ha kiküldik az emailt és nem tesz senki bejelentést a megfelelő helyen, akkor ennyi is volt.
Nem, a NAIH saját kezdeményezéséből is indíthat vizsgálatot, más kérdés, hogy nincs rá kapacitása.
köszi
Es mi lenne a vizsgalat eredmenye? Nyilvan kiderulhetne, hogy szar a rendszer. Es? Mi az a torveny amit megsertettek? Mi a kovetkezo lepes? Szerintem az allam kozpenzen ne vegezzen ingyenes tanacsadast ilyen cegeknek...
Mondjuk szerintem az ország gazdasági/biztonsági szempontjából pozitív lenne, ha lenne egy állami szerv, ami folyamatosan teszteli a hazai vállalatokat különféle it biztonsági szempontokból (publikus sérülékenységek, általánosan elkövetett hibák) és értesít, ha hibát talál.
(ez egyébként is megtörténik, csak külföldi szervezetek által és az értesítés része kimarad)
Nki-ra gondoltál? nki.gov.hu
Nem egeszen: A weboldal alapjan nem derult ki egyertelmuen, hogy ez barki szamara elerheto-e, de ha igen akkor is csak kulon megallapodas utan, ami van egy olyan erzesem, hogy a legtobb ceg eseteben nem fog letrejonni.
govcert szokott ilyesmiket küldözgetni.
Domain, tárhely és webes megoldások: aWh
Nem. Nem jarnank jol ezzel. Csak lenne meg egy vizfeju tarsasag, jo sok adminisztracioval, sok sok power point prezentacioval, hogy mekkora jok, milliardos koltsegvetessel, stb. Nem hianyzik ez.
Az allam inkabb oktatast adjon, vagy mas modon segitsen, a piac majd eldonti az ilyen cegek sorsat... Az orszag meg azzal jar jol, ha sok olyan ceg van ami a sajat laban megall.
Csak az a baj, hogy senki másnak nincs joga szólni/tesztelni, hogy Kovács és társa Bt. rendszerébe admin/admin-al be lehet lépni.
Nincs joga, de az ilyen cégeket egy pillanat alatt leépíti egy "hacker", és nem mindegyiknek van olyan szerencséje, hogy utána elkapják az illetőt.
Nagy Péter
Miért építené le? Sokkal célravezetőbb saját malware-jét beépíteni a rendszerbe, majd bezárni a sebezhetőséget. A lebukás esélye pedig már úgy is minimális, ha csak tor-t használ.
A leépítést úgy értem, hogy több milliós kárt okoz, és sosem kapják el.
Nagy Péter
Hogy konkrét törvényt sért-e az jó kérdés, de azért adatkezelési elvárásoknak meg kell felelni (gdpr), és nyilván a webshop is tett olyan kijelentéseket (anélkül hogy tudnám melyik - tuti tett) a weboldalán, hogy "biztonságos fizetés" és a társai.
Attól a fizetés még lehet biztonságos, hogy rosszul kezeli az elutasított/függőben lévő utalásokat. GDPR sem hiszem, hogy sérül ebben az esetben.
A GDPR a személyes adatokat védi.
Ha olyan sampont veszel, ahol a webshop azt írja rá, hogy "nincs több könnycsepp", aztán mégis csípi a szemet, az nem sérti a GDPR-t, mert nem került ki személyes adatod.
Ha felírják a webshopra, hogy biztonságos fizetés, és közben nem az; de személyes adataidat az előírt módon kezeli, akkor az sem sérti a GDPR-t.
Ugyanakkor ha a webshopban a rendelés URL-jét módosítva mondjuk meg tudod nézni egy másik személy rendelését (különösen, ha a neve-címe is ott van), akkor az már sérti a törvényt.
Nagy Péter
Szerintem ő is azon bukott el, hogy nem állt le a rendelésekkel.
Amikor már 2 hete rendelgetett, és nála volt vagy 1-2 millányi áru, akkor ahogy elnézem a tudósítást, simán megúszhatta volna még. Az sem derült volna ki, hogy hová lett a holmi.
Nagy Péter