Hogyan minősíted a T-Systems által tanúsított magatartást a 18 éves "hacker" ügyében?

 ( zitev | 2017. július 21., péntek - 21:36 )
Elítélem, nem ezt érdemli az, aki önzetlenül rámutat a biztonsági hiányosságokra!
85% (442 szavazat)
Nagyon helyes, hulljon a sok csíra script kiddie!
3% (16 szavazat)
Nem érdekel az ügy, erre is csak ásítás közben véletlenül nyomtam rá.
5% (26 szavazat)
Egyéb, leírom.
1% (5 szavazat)
Csak az eredmény érdekel / az eredmény sem érdekel.
6% (30 szavazat)
Összes szavazat: 519

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Elképzeltem a szerencsétlen rendőröket, amint épp kihallgatják szegény srácot: https://www.youtube.com/watch?v=L5_gXgSmX8Q


A dakoták hírközlési rendszerét nem befolyásolják a mágneses viharok.

"...Takács József, a T-Systems biztonsági igazgatója szerint több mint hatszáz támadást regisztráltak az indulás óta...,"
- vajon a pasas mind a hatszáz "támadás"-ról tett feljelentést?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

persze,hiszen ez egy rendesen megtervezett és felépített rendszer, így mind a "hatszáz" támadásról van log, ami alapján el tudnak indulni és nagy százalékban tudnak feljelentést is tenni.
oh wait a minute...

Már az is ennyire erősen politikai propaganda terjesztő, vagy csak a cikk sikerült ilyenre? Gondolok itt az 5)-ös kérdésükre, és az utána leírt BKK-nak szóló kérdésre.

Mondjuk ezt a szlogent eddig nem láttam, de marketing szempontból erősen lábonlövés.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Sajnálom, hogy az egykori gazdasági szaklap is lebukott. Azért az olvasóbázisát annál érettebbnek képzeltem, mintsem hogy ilyen erőltetett kritikán ne lássanak át. Továbbmenve a címoldalra látszik, hogy politikai propaganda célokra van felhasználva, ráadásúl ennyire leplezetlen, ostoba módon. Gyakorlatilag origo, index, csak más néven.

tedd félre, hogy mi a véleményed a forrásról és próbálj a témára koncentrálni!

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Áhhh, már húsz éve ilyen.

máig hű maradt reformkommunista gyökereihez

---
"Kb. egy hónapja elkezdtem írni egy Coelho-emulátort, ami kattintásra generál random Coelho-kompatibilis tartalmat."

Kicsit elkanyarodtunk, a HVG valóban nem egy kimondottan Fideszes kötődésű és arculatú lap, de nagyon markánsan fogalmaztál, bizonyára hasonlóan következetesen tudsz mondani egy olyan sajtóorgánumot , ami legalább ilyen hosszú múlttal bír, jelenleg is működik és elfogadhatóan középvonalasan , megfelelő nívót képes biztosítani!

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ezt ott lehet értelmezni, ahol nem volt 45 év kommunista diktatúra.

(A Népszava amúgy több, mint 100 éves, a 2. vh. előtt a szociáldemokrata (!= kommunista) párt lapja volt.)

----
"Kb. egy hónapja elkezdtem írni egy Coelho-emulátort, ami kattintásra generál random Coelho-kompatibilis tartalmat."

ez az öncélú kommunistázás eleve koncepciótlan, mi köze van pl. a hvg-nek (vagy a jelenlegi Népszavának) a kommunizmushoz?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

A kommunizmusban/ból? Ebből még nem következik az, hogy ahvg kommunista lenne...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

ha nem vóna' fideszkomcsi rendszer, nem sok morzsalékot tudna tálalni... (ez sem).

--
"a Hungarian Unix Portált [...] szakmai fórumként eszembe nem jut használni, mert a közönség mentalitása miatt nincs értelme."

ezt azért meg kéne magyarázni:)
benne élnek? hoool kubában:)))))) v. délkoreában? esetleg kínában?
belőle?

"ezt azért meg kéne magyarázni:)"
ezt és itt? azt esetleg nem, hogy hogyan jutottunk el idáig...?

--
"a Hungarian Unix Portált [...] szakmai fórumként eszembe nem jut használni, mert a közönség mentalitása miatt nincs értelme."

Azért szerintem nem volt 100%-osan jóindulatú a srác, mert - ha jól tudom - mindenki által olvasható felületen hozta nyilvánosságra a sebezhetőség részleteit, még mielőtt azt javítani tudták volna. Talán még a TV-ben is nyilatkozott? Akkor lett volna tényleg etikus, ha kizárólag a BKK-nak vagy a T-Systemnek küld privát üzenetet. Azt viszont határozottan elítélem, hogy éjszaka mentek érte a rendőrök.

Azt hiszem az etikus magatartást egyik fél részéről sem kell nagyon fírtatni, de talán a cég mintha egy kicsit vastagabban adagolta volna a bullshit reakciót.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Petárdára atombombát, mértéktartó válasz jeligére.

Két srác volt.
Mindkettő azt állítja, órákkal a sajtó (s bármilyen nyilvánosság) előtt szólt a bkknak.

Mindkét hiba van annyira súlyos, hogy néhány órán belül reagálást igényel egy éles rendszernél. Szerintem.

--
blogom

Szerintem mindegy, hogy mennyi idő alatt kellett volna reagálni. A sebezhetőség javítás előtti nyilvánosságra hozatala ellenséges, és szerintem legalább részben politikai indíttatású cselekedet volt, ami azért értelmetlen, mert sem a BKK, sem a T-Systems nem politikai szervezet.

Már bocs de te hol élsz? Hogy a bkk és a t nem politikai szervezet??????? Ne vitzeljél már. Kérdezősködjél már olyan körökben körbe ahol a T pályázatokat nyer.... Bocs de naponta látom a kijelentésed ellentétét. Idehaza nem is nyerhetne másként pályázatot.

Na egy propagandista.
Ember a bkk egy a politika által irányított szerv a sok közül A T meg csak úgy lehet itt, ha vastagon lóg bele oda ahova.
Most már csak azt fejtsd ki, hogy hol látod a politikai színezetet a bejelentésben.

Emlékszem olyanra, hogy ennél nagyobb körben használt programoknál, amikor 60 nap után nem készült javítás, kiadták a sebezhetőséget. Akkor azon aggódtak, hogy még pár napot kellett volna várni, itt meg pár óra után mindent meg kellett volna oldani.

Kinek írt? Mondjuk egy info@ címnél napok mire eljut egy olvasni tudóhoz. Ez persze szomorú.

Ha nagyon őszinte szeretnék lenni, 2018 közeledtével az naív, aki naívnak hiszi ezeket a "hekkeret"...


"I'd rather be hated for who I am, than loved for who I am not."

Ugyan már! Nem történt károkozás, nem ő volt, aki egyedül felfedezte a bughalmazt, viszont ő volt az, aki felhívta rá a szolgáltató figyelmét (egyébként mivel közérdekű üzem, felfogható úgyis, hogy állampolgári kötelességét teljesítette!) nem üzletelt a haverokkal vele, nem tette fel a darknetre, stbstb... Hagyjuk már ezt a "hacker"-mizériát, mert kezd röhejes lenni ez a görcsös igyekezet, hogy ráverjék a balhét! Itt a húnyó a T-Systems, aki amellett hogy dilettáns módon oldotta meg a feladatot, még neki állt feljebb, amikor egy 18 éves kölök leiskolázta őket. Kurvaciki.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ciki a fejlesztőnek, ciki aki átvette így és engedte éles üzemre. Ez nem kérdés. Fogd máshogy, ne használd azt a szolgáltatást, arroganciából tudtak honnan tanulni.


"I'd rather be hated for who I am, than loved for who I am not."

Úgy tudom, hogy nem sokkal rá hívta az ügyfélszolgálatot és bevonatta a bérletét.
---
Útirány.hu

Lehet, hogy ez a konkrét bérlet nem okozott veszteséget a BKK-nak, de mivel nyilvánosságra hozta a sebezhetőséget a javítás előtt, több száz másik bérletet is megvehettek közben 1Ft-ért.

Biztos vagyok benne, hogy simán kikereshető, hogy ki mennyi pénzt fizetett ténylegesen, leválogatható az összes, ahol ez eltér az ártól, és a bérletek érvényessége törölhető.

OK, ez nyilván igaz, de talán nem kéne ekkora hőst csinálni a srácból. De azért persze komoly büntetést sem érdemel szerintem, legfeljebb egy kis ráijesztést.

Hőst valóban nem. Ő egy áldozat. A hülyék és sértődöttek áldozata. És ezzel a feljelentéssel meg a reakciókkal elérték azt, hogy lehet, hogy a tényleges bűnösök - akik elkészítettek egy ilyen lyukas rendszert és akik átvették rendes biztonsági tesztelés nélkül - megússzák, mert mostantól a 'csúnya hekkerrel' foglalkozik mindenki.

Ez a probléma, nem az, hogy most büntetik vagy sem, vagy mennyire, mert tény, nem a legjobb módon járt el, de az is látszik, hogy nem károkozás volt a cél. Politikai töltete mindennek van már itthon, mert a BKK az állami, aki az államot kritizálja az minimum féreg. Közben azokkal az emberekkel, akik mérhetetlenül ócska munkát végeztek, nem egy hiba volt (hoho, adatlopás is volt, nem csak olcsó bérlet vásárlás), azokkal még csak említés szintjén se foglalkozik a "köz". Én amint a hiba kiderült lekapcsoltam volna, elnézést kértem volna, és belső vizsgálat keretében megtudtam volna, hogy ki a penész volt képes 7 számjegyű fizetések mellett egy középiskolást odaültetni (ráadásul nem is kiugróan tehetségest).

Biztonsági hibák megosztása viszont nem btk kategória, a feljelentés a vásárlás ténye miatt volt.

De bizony, hogy az! Btk. 424. §-t tessék böngészni!
(Viszont ez nem biztonsági hiba.)

feltételezem, hogy erre gondolsz:

"423. § (1) Aki
a) információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad,
b) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy
c) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,
vétség miatt két évig terjedő szabadságvesztéssel büntetendő.
...
(3) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el."

- itt azt kellene gyorsan kitalálni, hogy pontosan milyen, a rendszer védelmét biztosító technikai intézkedést is sértett meg/játszott ki az illető, csak mert egy link egyszerű átírása jellemzően inkább azt mutatja, hogy bizony itt ilyesmiről pont hogy szó sem volt.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Nem, a 424-re.

"424. § (1) Aki a 375. vagy a 423. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő
a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz, illetve
b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja,
vétség miatt két évig terjedő szabadságvesztéssel büntetendő.
(2) Nem büntethető az (1) bekezdés a) pontjában meghatározott bűncselekmény elkövetője, ha - mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna - tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását.
(3) E § alkalmazásában jelszó: az információs rendszerbe vagy annak egy részébe való belépést lehetővé tevő, számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló bármely azonosító. "
- mégis pontosan mire gondolsz?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ha közreadsz egy biztonsági hibát, akkor b., ha még PoC-t is, akkor a.

Ha mar olyan okos vagy olvasd el a (2)-st is. Leirjak hogy miert nem buntetheto.

Meg a srac se jelszot nem leakalt sem pedig nem irt uj bongeszot ahol konnyebb atirni a POST-ot. Ugy induljunk ki ebbol.

OK, induljunk: a médiának adta ki, nem a hatóságnak.
(A dolog olyan szempontból lényegtelen, hogy a sajtóban megjelentek alapján a 423-ast akarják ráhúzni.)

Az hogy a hatóság mire alapozza a vádat - egy dolog. Az pedig hogy ez a btk szerint valóban megállja-e a helyét, majd a bíróság eldönti (az is lehet, hogy már az ügyészségen elhasal a történet). A kérdés leegyszerűsítve: tolvaj-e az, aki egy forgalmas helyen talán egy pénztárcát, és azzal nem rohan azonnal a rendőrségre, hanem hangosan a körülötte lévők tudomására hozza (de a tárcához nem nyúl, az a földön hagyja).

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

próbáljuk értelmezni a szöveget: "b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja,"
- "jelszó, vagy számítástechnikai program készítésére vonatkozó.." -a cselekmény mindössze egy link átírása volt, tehát ebből egyikre sem vonatkoztatható (se nem jelszó, se nem program).
"a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz,..."
- lásd fent!

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Felesleges ez a jogászkodás ebben az országban. Ha a führer úgy dönt akkor nem lesz semmi következmény, ha viszont meg akarja büntetni a srácot akkor még a btk.-t is átírják miatta 2 nap alatt ha kell. Akár visszamenőleges hatállyal is :)

Szerencse, hogy nem tett közzé se programot, se jelszót.

Vásárlás ténye miatt? Akkor követett volna el bűncselekményt az illető, ha az olcsóbban vásárolt bérletet felhasználja és igénybe veszi a szolgáltatást. E nélkül csak fizetett 50Ft-ot a BKK-nak, ami visszajárna.

????
Amikor megjelent az iras barmilyen online lapon, a srac mellekelte a bkk-nak kuldott levelet is, legalabb ket nappal korabbi datummal.
Ket napig kurvara nem reagalt senki, akkor kuldte el az ujsagoknak.

--
http://www.micros~1
Rekurzió: lásd rekurzió.

Ezt fontos lenne tudni tenyleg igy volt-e, mert a T-systems meg fel oraja is az ellenkezojet allitotta. Forrast kernek mellekelni please

ukáz ki volt adva, hogy megnyitóra el kell indítani.

Senki nem fogja megnevezni a főbűnöst aki ezt elrendelte.
Most meg mindenki retteg, hogy kire lesz ráhúzva a vizes lepedő, mert annak kell állni a nem kis összegű számlát, ami a pereskedések, büntetések, kötbérek, javítások stb. után lesz.

És hát jelentkezett egy önkéntes, aki bár jóhiszeműen, de elég meggondolatlanul (szerintem), önként dugta a nyakát a hurokba.

Szerintem a cégnél tudtak a hibákról, csak hát az ukáz, az ...
Mentik a menthetőt a saját szemszögükből.

+1
Igen, kábé erről szól a sztori...

De egy a jóhírére valamit is adó cég, ilyen feltételekkel el sem vállalja a megbízást!
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Csak hogy egyesek úgy gondoljak, hogy egy nyertes pályázat visszadobasa nagyobb presztízs vesztes.

Nyilván van az a pénz. Pontosan tudták hogy a rendszerük egy nagy rakás szar, ezért aztán úgy kellett nekik a bűnbak mint egy falat kenyér, lásd: "takács személyesen tettem büntetőfeljelentést józsef".
Azt már nem látom át, miből gondolták, hogy ez így rendben lesz, de nyilván van az a méretű pénzhalom (vagy egyéb kötelezettségvállalás) ami fölött jó ötletnek tűnik.

Egy, a jó hírére valamit is adó, nem sumákoló, nem közpénzlenyúló cég, nem így reagált volna a történtekre.

SZÉGYEN!
----------
Registered Linux user #46079

A Google egy hasonló hiba (bár náluk nem valószínű, hogy ennyire primitív hiba kikerüljön egy éles rendszerbe) felfedezéséért és bejelentéséért fizet a bejelentőnek. Sőt ösztönzi is az embereket a hibák bejelentésére.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

A gondolatod fordítsd meg: ott ahol ilyen primitív hiba előfordul, ott nem várhatod el az önkritikát (fizetünk ha segítesz nekünk fejlődni), legalábbis a példa ezt mutatja.

Hát ez az! Nagyon jól tudják, hogy nem egyenes úton járnak, ezért támadnak kapásból.

És? A világ vállalatainak 99.9999999%-a meg nem ad pénzt hibák felfedezéséért, hanem rádhivja a rendőrséget. A bkk is ilyen.
Most már ez a naiv gyerek is tudja ezt. Legközelebb majd olyan vállalat szolgáltatását fogja megpiszkálni amelyik a maradék 0.0000001%-ba tartozik és még pénzt is fog keresni vele. Már ha valóban ért is a dologhoz, mert ez a mostani hiba nem igazán jelzi, hogy ért hozzá, hiszen akárki meg tudja csinálni aki látott már webszervert.

Ha az általam üzemeltett rendszerek egyikét törné fél én is lecsukatnám a csába, ha lehetőségem lenne rá, magasról teszek rá, hogy de a google bounty-t fizet ilyen esetben. (különösen, ha időt sem hagyna a javitásra, hanem szaladna a szennyújságokhoz)

A hibák felfedezéséért rádhívják a rendőrséget? Mondd csak, olvasod te amiket leírsz?

Persze, hogy rádhivják, ugyanis, ha nincs megbizásod a cégtől arra, hogy piszkáld a rendszerét (etikus hacker megbizás ugye), akkor törvényt sértesz. (Mondd, olvasol te törvényeket? :))

Ha a cég jófej (és te is az vagy, hogy pl nem kürtölöd szét) akkor, ha jó kedve van nem jelent fel. De mocskosul el vagy tévedve, ha azt hiszed jogod van netes rendszereket kijátszani, authentikációt megkerülni vagy bármi hasonlót. Nincs jogod. Akkor sincs, ha tökkelütött idióta irta a rendszert és könnyű feltörni.
Kivéve azok a cégek, akik erre nyilvánosan felhivják az embereket, lásd fentebb a százalékokat.

Félek ez a naiv gyerek is ugyanilyen nagy szemekkel nézett, mikor elmagyarázták neki a sok-sok éve hatályos törvényt.
Láttam kapott etikus hacker tanfolyamot ajándékba. Képzelem, hogy meglepődik amikor rájön, hogy egy ilyen tanfolyam jó része is pont erről szól, hogy ilyet nem csinálhatsz felkérés nélkül és részletezik a jogaidat, kötelességeidet.

nem volt bezárva az ajtó, ő csak belépett és szólt, hogy "hahóka, nyitva van az ajtó!"..

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Nem éppen. Inkább rápróbált a bezárt ajtón a zárra egy fémdarabbal és rájött, hogy el lehet forditani a zárat és be lehet menni. Bement, felrakott egy postit cetlit valahova ahol kb senki nem látja, majd pár órával később elrohant a szennylapokhoz és szétkürtölte mindenkinek, hogy egy fémdarabbal el lehet forditani a Fehérvári út 55-ön a zárat és be lehet menni. Na ezért kopogtattak a rendőrök nála.

"Bement, felrakott egy postit cetlit valahova ahol kb senki nem látja"
Úgy beszélsz, mint akinek pontos belsős információi vannak az ügyről

Nem éppen. Némiképpen rutinos kilincshasználóként szemrevételezéssel konstatálta, hogy az ajtó meglehetősen hanyagul van betámasztva, így bárki illetéktelen bemehet és lophat, rabolhat, gyújtogathat. Ezt megelőzendő(!!!), jelezte a tulajnak, hogy gáz van(!!!), aki ezt nagy ívben telibeszarta(!!!). Erre jótevőnk szólt a helyi hírharsonának, hogy a szomszéd ajtaja nincs bezárva, jobb ha senki nem megy rossz szándékkal arra, mert a szomszéd is tud róla és figyeli a nyitogatókat! Erre a szomszéd (ahelyett, hogy megköszönte volna a segítséget) ráhívta a hákerjózsira a porkolábokat, mondván a kiccsávó' lopolni gyütt' (közben meg nem)...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

A tulajnak való jelzés mit jelent pontosan? Odament, szemébe nézett és elmondta a problémát? Vagy gondolta, hogy a postit jólesz a tükrön. Azaz feltételezte, hogy egy adott emailre való emailezés - amiről kiderült, hogy egy nem monitorozott, noreply-os fiók - és néhány óra(!!!!) várakozás elég lesz és lehet telikürtölni a sajtót a hibával.

Index, meg 444, mint jóhiszemű szomszéd aki majd figyeli a nyitogatókat, ezen felröhögtem, de tényleg :)

Szólt és ez a lényeg. Nyoma van, visszakövethető, így ezen nincs is mit tovább rugózni. Kevesebb rosszindulat, hosszabb élet...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Felesleges erőlködni a szar hasonlatokkal. Ha senki nem szól és nem veszik észre, a hiba attól még ott van és a bűnözők fogják kihasználni. Ők meg tuti nem fognak szólni a hiba miatt, inkább kihasználják. Ostoba és szűklátókörű dolog a jóhiszemű embereket ilyen esetek miatt vegzálni, teljesen mindegy mi van a törvényben. A törvényeket kell az élethez igazítani, nem fordítva.

Jó, mondjuk legyen így. Azért azt tegyük hozzá, hogy a fehérvári út 55-ben milliárdos forgalmat bonyolítanak, és a tervek szerint milliós nagyságrendben kezelik a felhasználóik személyes adatait. A biztonsági rendszer eközben egy darab TUTO lakat.

Nincs a törvényben olyan kivétel, hogy milliárdos forgalmat (bkk aznap nyiló webshopjában????) bonyolitó házakba (vagy internetes szolgáltatásokba) be lehet törni kéretlenül és a feltárt hibákat ki lehet teregetni a médiának, hogy utána bármelyik hülye tudjon igazi kárt okozni.

De olyan van, hogy nem elég a TUTO lakat.

Persze, hogy van, én is leirtam már többször, hogy ez egy hulladék rendszer, bár a legnagyobb gondokat már kijavitották.
De értse már meg mindenki, hogy attól, még, hogy gyenge a lakat, még nem törhetsz be! Sem épületbe, sem internetes rendszerbe, mert lecsuknak. Keresd meg a céget, ajánld fel a szolgáltatásaidat, kapjál rá engedélyt és utána lehet szórakozni vele.

Még egyszer, csak a te kedvedért: nem tört be!

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

De nem tört be! :) nem hatolt be semmilyen rendszerbe, és kárt sem okozott.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Akkor olvasd el a törvényt, bármilyen manipuláció bűncselekmény, egy webshop kosárértékének módositása post paraméterek buherlásával szeirntem bőven kimeriti ezt. Még, akkor is, ha egy kretén irta a webshopot, a törvényben nincs kivétel ilyenre.
Ha szerinted nem bűncselekmény, semmi gond, akkor csinálj ilyeneket webshopokban, majd meglátod a következményeit.

Én elolvastam, ezek szerint te nem. :)
Legyél olyan kedves beidézni ide, hogy pontosan melyik törvényi paragrafus szövegrész jelenti azt, amit állítasz!..

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

hogy ne csak a konyhajogaszok szolaljanak meg, hanem egy valodi jogasz is: http://magyarugyved.blog.hu/2017/07/23/lehet_akar_buntetojogi_kovetkezmenye_is_a_bkk-botranynak

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

kiemelem a lényeget, hogy Imo-nak se okozzon gondot kibogarászni ;)
"...Ehhez képest a fiatalember mit csinált? A böngészőjében átírta a szolgáltatás vételárát, s ezt a rendszer elfogadta. Mit játszott ki? Semmit, legfeljebb kihasználta a szoftverfejlesztő hülyeségét, ami nemigen lehet bűncselekmény. Ráadásul erről a hibáról azonnal tájékoztatta a BKK-t. Ezért nem a rendőrséggel kellett volna elvitetni, hanem köszönet és legalább egy ajándék buszbérlet járna neki.

Másfelől nem elég az, hogy egy cselekmény tényállásszerűen ütköztethető a Btk.-ba, hanem annak egyúttal társadalomra veszélyesnek is kell lennie. Ha ez nem állapítható meg, nincs bűncselekmény. Az pedig nemigen veszélyes a társadalomra, ha valaki arra hívja fel a figyelmet, hogy egy rosszul megcsinált informatikai rendszer visszaélésre ad lehetőséget. Nem kétséges, hogy a büntetőeljárást meg kell szüntetni..."

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Hát nagyon megnézném egy biróságon, igazi szakértővel, hogy mit is mondanának erről. Az idézett jogász valószinű azt se tudja mit az a post paraméter. Az, hogy a böngészőben átirta, egy hozzánemértőnek annyit jelenthet, hogy volt egy szövegdoboz az oldalon és ott át lehetett irni. Nos, egy post paraméter meghamisitása ennél "picit" bonyolultabb.

Tényleg? Mesélj!
Pl. kezdd azzal, mi az, hogy POST paraméter!

Te ennyire hülye vagy, vagy mindenkit annak nézel?
Nem nyúlt bele a POST requestbe (aminek contentje van, nem paraméterei), simán átírta a HTML forrásban egy form-mező értékét. Ebből a szempontból kb. lényegtelen, hogy GET, POST vagy KUTYAFÜLE.

Hú, megfogtad a lényeget, nagyon.

Teljesen mindegy, hogy a requestet manipulálta, vagy a forrást, lényeg, hogy nem szövegdoboz volt amit a böngésző felületén egy user át tud irni. Mindegy, hogy egy hidden input mező vagy post paraméter (ha nem érted nembaj). Egyik sem látszik a usernek alapesetben. Ha mondjuk get paraméter lenne, akkor már határeset lenne, az látszik a usernek, anélkül hogy bármit csinálna.

"Ha mondjuk get paraméter lenne, akkor már határeset lenne, az látszik a usernek, anélkül hogy bármit csinálna."
Remélem, nem webfejlesztéssel foglalkozol!

Egyébként arról van szó, hogy hidden vagy sem, a rendszer publikusan lehetőséget biztosít arra, hogy te megadd, mennyiért szeretnél vásárolni. Ez nem lopás, hanem ajánlattétel. Akkor rezegne a léc, ha nem lenne ott a hidden mező, hanem próbálkozásos alapon eltalálja (elsőre!), hogy milyen nevű mezőben lehet árat megadni.

"Remélem, nem webfejlesztéssel foglalkozol!"

Látom nem nagyon érted. Ez nem műszaki "határeset", hanem jogi. Ha ott van az orra előtt az ár (get paraméter, vagy egy aktiv textbox) az nemigen állná meg a helyét a biróságon, hogy feltörés. Ha már forrásban kell turkálni, vagy request-et elkapni és menet közben módositani, az szerintem már hack kategória, függetlenül attól, hogy ahol ez hatásos az egy nagyon béna oldal.

"Akkor rezegne a léc, ha nem lenne ott a hidden mező, hanem próbálkozásos alapon eltalálja (elsőre!), hogy milyen nevű mezőben lehet árat megadni."

És még te mondod nekem, hogy reméled nem webfejlesztéssel foglalkozom? :)
Teljesen mindegy milyen nevű mezőben lehet árat megadni kliens oldalról. Egy normális rendszeren semmilyen nevű mezővel nem lehet módositani az árat, akár eltalálod, akár nem.

"Egy normális rendszeren semmilyen nevű mezővel nem lehet módositani az árat, akár eltalálod, akár nem."
Pont ez a lényeg. Ha viszont publikusan megadják, hogy hol lehet megadni az árat, és azt valaki átírja, az nagyon nem hack. Akkor lehetne elgondolkodni a dolgon, ha egy nem megnevezett mező szolgálna erre.

"Remélem, nem webfejlesztéssel foglalkozol!"
Szerintem esküvői fotós Csíkszeredán :D

Gratulálok, ügyesen tudsz linkelni, tee google-huszár! :D

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

azert ehhez nem kell 'igazi szakertonek' lenni, hogy megertsd:

"nem elég az, hogy egy cselekmény tényállásszerűen ütköztethető a Btk.-ba, hanem annak egyúttal társadalomra veszélyesnek is kell lennie."

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Szerinted ki az az "igazi szakértő"? Az a szakértó, aki nem a te véleményed támasztja alá, az nem lehet igazi, ugye? Kicsit egységsugarú a gondolkodásod... :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Egy ügyvéd informatikai kérdésben biztosan nem szakértő. (hacsak nem informatikus is)
Nem ő fogja bizonyitani, hogy egy postolt mező átirása manipulálásnak minősül-e, valószinű ő sem tudja mi a különbség a get és a post vagy egy látszódó szövegdoboz között, ahogy a biró sem tudja. Egy informatikus szakértő már inkább.

"Nem ő fogja bizonyitani"
a bíró majd eldönti, mi lesz a vége. már ha bíróság elé kerül a kérdés (tehát egy kivételesen jól iskolázott ügyész nem darálja le a vádemelési javaslatot, mondjuk bűncselekmény hiányában).

"Egy informatikus szakértő már inkább."
mármint olyanok, akikről itt is olvashatunk...?

--
"a Hungarian Unix Portált [...] szakmai fórumként eszembe nem jut használni, mert a közönség mentalitása miatt nincs értelme."

>egyúttal társadalomra veszélyesnek is kell lennie

Az "éjszaka rárugták az ajtót a 8 éves kisgyerekre aki felsírt" mém után itt az újabb hazugság.

ala tudod tamasztani az allitasod valamivel, hogy miert neked higgyunk es ne egy hivatasos ugyvednek?

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Btk.: "4. § (1) Bűncselekmény az a szándékosan vagy - ha e törvény a gondatlan elkövetést is büntetni rendeli - gondatlanságból elkövetett cselekmény, amely veszélyes a társadalomra, és amelyre e törvény büntetés kiszabását rendeli."

Igen, csak itt nem feltétlenül sikoltozva haldokló emberek tömegeit kell elképzelni, ahogyan ez a gumijogszabály sugallja. Tovább kéne olvasni:

(2) Társadalomra veszélyes cselekmény az a tevékenység vagy mulasztás, amely mások személyét vagy jogait, illetve Magyarország Alaptörvény szerinti társadalmi, gazdasági, állami rendjét sérti vagy veszélyezteti.”

Vett egy bérletet 50 forintért, azonnal jelentette, letiltották. Ennek fényében a fentiek melyike áll meg?

Helyett a valóság: "Vett egy bérletet 50 forintért, azonnal jelentette egy nem olvasott email cimre, majd azonnal rohant a sajtóhoz és pontosan elmondta hogyan tud más is lopni." De mindez abszolút nem okozhatott gazdasági kárt ugye.

Elnézést, hogy bátorkodom megkérdezni, nekem honnan kellene tudnom egy publikus e-mail címről, hogy a postaláda mögött a devnull áll? (Nyilván ha

, az eléggé határeset, de még ennél is kérdéses, hogy kötelező-e nekem egy hibás angolságú címről tudni, hogy nem olvassák.)
Továbbá tudnál nekem mutatni konkrét infót, ahol hitelt érdemlően szerepel, hogy mikor vásárolt, mikor írt e-mailt és mikor rohant *azonnal* a sajtóhoz. Csak azért, mert én - szintén nem hiteles forrásban - azt is olvastam, hogy pénteken volt a vásárlás és a levélküldés, és hétfőn a sajtóhoz rohanás. És tekintve azt a nem mellékes körülményt, hogy egy frissen élesített rendszerről beszélünk, azaz eléggé logikus nem-szakmai elvárás, hogy vigyázó szemek figyelik a működését és a visszajelzéseket.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

>Elnézést, hogy bátorkodom megkérdezni, nekem honnan kellene tudnom

A tízmillió informatikus és tízmillió fatolvaj országa vagyunk.

Nekem első blikkre az ugrana be, hogy ha nem kapok róla egy válaszlevelet (akár csak annyit, hogy megkapták, várják a válaszra) akkor vagy nem olvasták, vagy hétvégén nem olvassák.

"És tekintve azt a nem mellékes körülményt, hogy egy frissen élesített rendszerről beszélünk, azaz eléggé logikus nem-szakmai elvárás, hogy vigyázó szemek figyelik a működését és a visszajelzéseket."

Ez aztán biztos megállná a helyét egy biróságon, hogy te azt feltételezted, hogy hétvégén ott ülnek és feldolgozzák a visszajelzéseket.

És azért visszautalnék a sokak által (egyébként teljesen tévesen) idekevert külföldi multik gyakorlatára, ahol is 90 napot szokás várni a bejelentés és a nyilvánosságra hozás között.

(Mivel ezt a részt nem válaszoltad meg, gyanítom te sem tudsz infókat az időpontokról.)

> Ez aztán biztos megállná a helyét egy biróságon, hogy te azt feltételezted, hogy hétvégén ott ülnek és feldolgozzák a visszajelzéseket.

Hát valami elvárható gondosság vagy micsoda ötlött fel. Amúgy ha egy országban tervezhető bevételnek tekintjük a közlekedési szabálysértésekből befolyó bírságot; ha egy országban az adóhivatalnak van joga azt mondani, hogy márpedig szerinte valami nem életszerű, és ezen feltételek alapján állapít meg dolgokat, aminek súlyos anyagi következménye van; ha egy országban a jog ismeri a ráutaló magatartás fogalmát; vagy épp elhangzik, hogy valaki(k)nek állampolgári joga hülyének lenni; no akkor én meg hadd feltételezzem már (más szóval hadd legyek már ennyire naiv hülye), hogy egy BKK/BKV méretű konglomerátum nem a devnullba küldi a hivatalos címre érkező leveleket, és ha épp élesít egy szolgáltatást, akkor igenis van aki a visszajelzéseket és a rendszer működését az élesítés utáni egy-két napban (hétben) a postás-nézzen-rá-a-levelesládára szintnél jobban figyel a rendszerre. (*)

Viszont közben ez is szembejött:

https://444.hu/2017/07/24/rossz-mailcimre-irt-a-hacker-mondta-a-bkk-vezerigazgatoja-a-18-eves-fiu-azonnal-megcafolta-egy-screenshottal

Azaz a hivatalosnak nem nevezhető BKK-vezérigazgatói nyilatkozat szerint a

-ra kellett volna küldeni a levelet ha érdemi elbírálást várunk; sajnos azonban a két címzett közül az egyik a

volt. Cziki.

(*) Újra átgondoltam, és rájöttem, hogy az általam felsoroltak pont hogy az ellenkezőjét jelentik: itt nem működik a józan ész, így pont ezek miatt nem várható el semmi. Elnézést, hogy egy rövid időre azt hittem, vannak még normális (szak)emberek Magyarországon.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

A cikk lényege nem az, hogy a bkk@ -ra is elküldte, hanem, hogy 0 azaz nulla időt hagyott a javitásra, azonnal szaladt a sajtóhoz, a @bkk-ra küldött levél után 2 órával már kész cikk jött le az indexen róla: https://hup.hu/node/154459?comments_per_page=9999#comment-2123884

Egyébként most épp azt ecsetelte, hogy ő mindkét cimre elküldte, csak azért nem mondta eddig, mert nem gondolta, hogy fontos :)

> Egyébként most épp azt ecsetelte, hogy ő mindkét cimre elküldte, csak azért nem mondta eddig, mert nem gondolta, hogy fontos :)

jól értem, hogy azt állítod, a BKK a mai napig nem találkozott a levéllel? :-)
--
blogom

Nem hinném, hogy akár hasonlót is irtam volna. Azt állitom, hogy zéró időt adott a javitásra, ami ritka paraszt dolog. Egyidőben (vagy legfeljebb 2 óra különbséggel) küldte az indexnek és a bkk-nak a hibát.

Ó, a szegény naiv fiatal fiú, aminek itt lefestik. Mindenről screenshot, hogy később lehessen mutatni, a facebook oldala az etikusbunozo. (Nem védem a BKK-t, mert földig le kéne rombolni és sóval behinteni a helyét, persze a MÁV-val együtt, hátha utána jobbat fel lehet húzni, de azért kicsit kéne látni/nézni az események mögé is.)


"I'd rather be hated for who I am, than loved for who I am not."

> Mindenről screenshot, hogy később lehessen mutatni

Bocsánat hogy beleszólok, az én levelezőmet használó rendszerben ma is tudok képernyőmentést csinálni amiben az látszik, hogy a tegnapi levelet tegnap küldtem el - ez a funkció nincs időhöz kötve. Felvetésed alapján azt lehetne hinni, hogy a képernyőképet kizárólag a levél küldésekor csinálhatta. (Az a másik fele, hogy természetesen meg is lehet hamisítani, ha az lenne a cél - de gyanítom, hogy ha valakit éppen itsec problémák miatt baszogat a rendőrség, akkor nem egy frissen hamisított képernyőképpel akarja magát védeni.)

És akkor vissza a szöveged elejére:
"Ó, a szegény naiv fiatal fiú, aminek itt lefestik."

Szerinted mi ő? Melyik része nem stimmel? Ő legalább megpróbált szólni annak, akinek szerinte kellett volna. Honnan a francból kéne tudnia, hogy nem a BKK csinálta vagy üzemelteti ezt a rendszert? Honnan kéne tudnia, hogy a

címet nem olvassák (de legalábbis azon a hétvégén nem olvasták)? Hol van a "társadalomra veszélyes" feltétel ami ahhoz kellene, hogy a többször idecitált paragrafusok szerint ez btk-s cselekedet legyen? Jelenleg annyit tudunk, hogy vett valamit nem annyiért amennyit a BKK szerint fizetnie kellett volna - ezzel szemben a BKK a vásárlást elfogadta, a pénzt eltette és kiadott egy bérletet, amit aztán a botrány kirobbanásakor villámgyorsan törölt/visszavont/letiltott - azaz a BKK egy kétoldalú szerződést egyoldalúan és magyarázat nélkül visszamondott, és még odáig is eljutottak, hogy állítólag meg van gyanúsítva.
Kb 1 éve vettem egy angol webshopban egy kütyüt. Megrendeltem, kifizettem, visszaigazolták, majd másnap reggel kaptam egy levelet, hogy sztornózták. Értetlenkedő levelemre azt vetették fel, hogy magyar bankkártyával vásároltam, és ez le van írva, hogy náluk nem lehet, csak angol kártyával fizetni. Fentiek alapján várhatom, hogy jön az angol TEK? Kijátszottam a webes védelmüket, nem? Náluk az volt a webes védelem, hogy valahol leírták az oldalon, hogy csak angol kártya jó. A BKK oldalon az volt a védelem, hogy?
Ahogy már többször felvetették: ha a saját böngészőm által elküldött kérés nem módosítható, mert azzal te már a túloldali rendszert módosítottad, akkor gyakorlatilag mindenki aki proxyt használ, browser extension-t használ, NAT mögött ül, az számítógépes bűnöző.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

"Ahogy már többször felvetették: ha a saját böngészőm által elküldött kérés nem módosítható, mert azzal te már a túloldali rendszert módosítottad, akkor gyakorlatilag mindenki aki proxyt használ, browser extension-t használ, NAT mögött ül, az számítógépes bűnöző."

Marhaság. Szinte az összes hack tool a böngésződ kimenő forgalmát bütyköli meg. Elkapja a kérést, átir rajta valamit trükkösen és továbbküldi a webszervernek ami valami hiba okán rávehető valamire amire nem volt tervezve. Burp suite mond valamit?

A szegény naiv fiú kapcsán érdekes módon levágják a levelének a második részét ahol azzal henceg, hogy milyen más rendszereket hackelt már korábban meg és lopott pénzt a szerencsjáték-tól, vagy vett ingyen máv jegyet. De ugye ami nem illik bele a propagandába, az kimarad, igy lett a levél is rövidebb, mint eredetileg :)

Idézet:
A szegény naiv fiú kapcsán érdekes módon levágják a levelének a második részét ahol azzal henceg, hogy milyen más rendszereket hackelt már korábban meg és lopott pénzt a szerencsjáték-tól, vagy vett ingyen máv jegyet.

Ha ez tényleg igaz, akkor tényleg nagyon naív: eldicsekszik azzal, hogy milyen bűncselekményeket követett el...

A nyomtatás valódi, más kérdés, hogy az email-t nyomtatták-e vagy pedig Szilárd példáját követve egy kicsit hackelték :)

Még szerencse, hogy te magad linkelted be a levelet, amiben ott szerepel ez:

"Az általam a közbeszerzésről leírtak szarkasztikus kritikát tartalmaznak, komolyan nem vehetőek, felelősségre vonható nem vagyok értük."

Ebből az utolsó félmondat nem biztos hogy megállja a helyét, ellenben az eleje azért jelez valamiféle utalást arra, hogy ezt a MÁV / Szerecsenjátékos bekezdést nem kéne komolyan venni.

Az azért nem kicsit tragikus, hogy úgy tűnik az elején az egész levelét vették semmibe, utána pedig az általa szarkasztikusnak jelzett részt veszik komolyan (a másik felét meg leszarják?).

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Ja, erre nem reagáltam:

> Marhaság. Szinte az összes hack tool a böngésződ kimenő forgalmát bütyköli meg.

Tehát akkor azért, mert "szinte az összes hack tool a böngésződ kimenő forgalmát bütyköli meg", ezért ha én magam bütykölöm meg, akkor bűnös vagyok. Amennyiben viszont ezt a bütykölést egy proxy/nat/extension csinálja, akkor nem vagyok bűnös. Tehát ha van egy browser extension, amelyik egy kimenő kérésben kicseréli a tetszőleges ÁR=10000 és PÉNZNEM=GBP paramétert ÁR=10 PÉNZNEM=HUF -ra, akkor nem vagyok bűnös.

Ellenben kimaradt a lényegi részre a válasz: mi van a társadalmi veszélyességgel?

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Nem maradt ki, csak nehézségeid vannak a threadban olvasható fejlemények követése - rosszabb esetben értelmezése - terén.

loop-olgathatunk, de az a baj, hogy nem sikerült senkinek megmagyarázni, hogy az idecitált magyarázatokból mi valósult meg akkor, amikor Kovács Bendegúz Ottília a saját nevében, a saját maga által használt bankkártyáját felhasználva vett egy *általa* mélyen leértékelt bérletszelvényt, és a saját e-mail címéről ezt jelezte azon az email címen, ahol ezt - utólagosan igazolt módon - jeleznie kellett.
Azzal, hogy az 5 perc hírnév érdekében ugyanezt a levelet (vagy hasonlót) ugyanakkor / nem sokkal előtte / nem sokkal utána elküldte a sajtónak is - valóban megszegte minden white hat-ek Nagy Becsületkódexét, ellenben ettől a pillanattól már mások - így a rendszert üzemeltető is - tudhatott róla, hogy hogyan kell valós bankkártyával olcsón, nagy értékű BKV-bérletet venni. Azaz ha ugrásszerűen megnő a vásárlások száma, akkor rá kell engedni Ica nénit és Géza bácsit az tranzakciós logokra, és golyós számológéppel ellenőriztetni kell, hogy történt-e gynús eset. Ha igen, akkor ezeket a szintén félelmetes kiberhekkereket is jól meg kell szívatni azzal, hogy elvesszük tőlük az olcsón begyűjtött jegy- és bérletgyűjteményüket. Ica és Géza fizetését pedig le kell nyelnie az üzemeltetőnek , valószínűleg a kiszámlázott pénzbe azért belefér.

Kedves Gabu! Eddig számomra úgy tűnt, hogy ez a nicked van fenntartva az értelmesebb kommunikációra, kérlek ne KBO nevén, vagy a szöveg cikornyásságán kezdj el lovagolni, hanem próbálj meg értelmes(ebb)nek tűnő érveket felsorakoztatni.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Eszem ágában sincs Ottíliás-Gézás nyakatekert marhaságok olvasgatásába belemenni, továbbá nekem nem érdekem (pláne ingyen) hogy megértessem veled a jogszabályokat - ha már magad nem nézel utánuk.

Társadalomra veszélyes cselekmény mások jogainak megsértése is, pl. rágalmazás. Mások netes rendszereinek piszkálgatása meg pláne az.

Társadalomra veszélyes cselekmény mások jogainak megsértése is, pl. rágalmazás.

ezt tegyuk el az utokornak, hogy gabucsino sajat bevallasa szerint is tarsadalomra veszelyes cselekmenyt kovet el - visszaesokent...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

szegenykem a multkor is - a bio-ja szerint - hogy megserult azon a tengeralattjaron...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

>hétvégén

Egyes mémek nehezen halnak.

1) megfogtad a leglényegesebb részét
2) ha nem hétvégén nem olvassák, hanem a legégetőbb munkanap legforgalmasabb részében, akkor még rosszabb.

Ja, és ha már: mi van a btk-s előfeltétellel: "társadalmilag veszélyes"? (Nyilván veszélyes ha kiderül, hogy mekkora pénzért mekkora szarokat gyártanak, ennél már csak az a veszélyesebb, ha ki se derül.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Igazán felesleges mentegetned a hackert, mert mint a sorozatos hazudozások ellenére kiderült, egyszerre értesítette a sajtót és a BKK-t is, ez a responsible disclosure-nak nyílvánvalóan nem felel meg, tehát nem volt etikus.

A másik értetlenkedésed még mindig loop

első félmondat. loop

(Ráadásul azt hittem nem a gyerek, hanem a történtek minősítésével foglalkozunk. Én ugyanis nem a gyereket próbálom védeni, hanem a cselekményt értelmezni. És hajlok arra, hogy egy kurva nagy szakmai blamázst akarnak eltusolni egy gumiszabályra hivatkozva.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Nem tudok linkekre klikkelni 0px széles textboxokban.

igen, a screenshot-ban lehet igazad, nem feltétlen akkor készült.

én feltételezem, hogy annyira nem naiv, mint próbálják beállítani. ennyi. ezzel vagy egyetértesz vagy nem, meggyőzni nem szándékozlak. a facebook-os etikusbunozo-re a magyarázatot még várom. gondolom az is csak valami vicc, amit magamfajta fehér ember nem ért.

jó a példa, köszönöm. a kütyüt megkaptad kifizetés után? mert ő a vásárolt árút igen. te ezzel szemben egy sztornót kaptál.


"I'd rather be hated for who I am, than loved for who I am not."

(Szerintem 18 évesen még sok ember naiv.)
OT:
Nem, a kütyüt nem kaptam meg. Előbb levonták az általuk nem támogatott kártyáról a pénzt, majd sztornózták, végül visszautalták. Így megvettem máshol, ahol nem voltak averzióik a kártyával. (Csak akkortájt kicsit nehezen lehetett hozzájutni, így eléggé fájt, hogy megint várnom kellett.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Fentebb már próbálták neked elmagyarázni, mit keresett a rendőrségen a gyerek, nem vagyok jogász én sem tudnám jobban elmondani. Majd a biróság eldönti.

De, ha nem hiszed, neked is csak azt javaslom: törögess kéretlenül weboldalakat az interneten, jelentsd a hibát a sajtónak is és várd a jutalmat, semmi bajod nem lehet belőle, legfeljebb meggazdagodsz és/vagy hires leszel. :)

fent már többen elmagyaráztuk, hogy miért is nem felel meg annak a büntetőjogi tényállásnak az elkövetett cselekmény, amire te utalgatsz (gondolom nálad a szoftver másolás is az egyszerű lopás kategóriába esik)
Köszönöm a javaslatot, én is hasonló jókat kívánok neked! :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

De ugye nem rosszkivánságnak értelmezted amit mondtam? Hiszen, ha igazad van, akkor ez csakis jókivánság lehet, ezt kellene mindenkinek csinálnia, aki ért az informatikához. Kéretlenül weboldalak biztonságát tesztelgetni, webshopban trükkösen vásárolgatni és jelentgetni a hibákat a sajtónak is.

Bár értem a logikádat, csak te egy álomvilágban élsz.

Hiába már a bibilai Tízparancsolat is kimondja, hogy "Ne lopj!", meg törvényileg bünteti a Btk. és a jó erkölcs is, ennek ellenére mégis nekem kell zárakat felszerelnem, bekameráznom a házamat, odafigyelni, hogy nem posztolom ki, hogy éppen a lakhelyemtől többszáz/ezer kilométerre nyaralok, mert igenis vannak rossz arcú, gyarló emberek, akik ennek ellenére be fognak jönni és ki fogják rámolni a lakást, ha erre lehetőség van.

És még mindig inkább előbb egy "script kiddie" szóljon, hogy szerinte a lakatom fabatkát sem ér, mintsem hazaérve néhány, esetleg komolyabban is felfegyverzett embert találjak a lakásomban.

----------
rohamkocka

csak kérdezem.
ha "nyitva hagyom az ajtóm" joga van bárkinek is bejönni ha nem hívom?

Lehet választani mi a rosszabb: valaki bejön és behallózik, hogy észrevedd magad, vagy valaki olyan jön be, aki nem hallózik , csak elvágja a torkodat . Majd annak lehet mondogatni, hogy nincs joga bejönni !...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

nem, nincs joga.

de itt nem is ez történt.

a te ajtód egy magánterületre vezet.

egy áruház ajtaja is magánterület ajtaja, de nyitva áll bárki számára. vannak ugyan elzárt területek, de a vásárlói térben szabadon mozoghat bárki.

és itt ez a lényeg. nem ment elzárt területre, nem tört be sehova, egyszerűen átjavított egy számot, 'odasétált' a pénztárhoz, és fizetett. és mivel ellenőrzés sem volt, hát így járt az eladó.

de, erre feljelentették betörésért.

"nem ment elzárt területre, nem tört be sehova, egyszerűen átjavított egy számot, 'odasétált' a pénztárhoz, és fizetett."

De jó példa! Akkor legközelebb mikor a tescoban vagyok, nem török be sehova, a vásárlói térben fogok mozogni és szépen átcserélem a 10e ft-os pezsgő vonalkódját, az 50 ft-os rágó vonalkódjára, odasétálok a pénztárhoz és fizetek.
Dobok egy mailt egy nem használt tesco-s email-re, hogy milyen ügyes vagyok, majd szétkürtölöm a sajtóban, hogy az 32-es pénztárban ülő ember hülye, nem vesz észre egy ekkora csalást.

ettől még törvényszegés, csak az egyik 50 e. Ft alatti értékre elkövetett szabálysértés, a másik 3 évig terjedő szabadságvesztéssel büntethető bűncselekmény

Örülök, ha eljutottunk oda, hogy törvényszegés a tesco-ban a vonalkódok buherálása és a webshopok kosárértékének manipulálása is. Hogy az egyikért nagyobb büntetést kapsz mint a másikért, az engem már nem érdekel, eléggé egybevág a példa a történtekkel.

Nem jutottunk el oda, mivel nem "törvényszegés".

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ajtós hasonlat a szakmai gyökértelenség jelzője.

Aha. Szóval szerinted amit a gyerek csinált, az a rendszer feltörése, és a t-s arányosan járt el, amikor hajnalban rátaposták az ajtót?
Miután először nekik szólt, aztán erre megpróbálták erőből bekussoltatni, mert itt manapság így mennek a dolgok.

De legyen, a gyerek kapja meg amit megérdemel. Meg a t-systems is, meg a bkk is. Meglátásom szerint az egész üggyel utóbbi kettő járt rosszabbul, pedig nem lett volna muszáj, hogy így legyen.

A T rátaposta az ajtót? Nem tévedtél el egy picit az aránytalan téveszmék mezején? :)
A T ismeretlen tettes(!) ellen feljelentést tett a rendőrségen. Logokat átadta, rendőrség eljárt. (hogy miért éppen éjjel kisérték be és nem nappal, azt kérdezd a rendőröktől, de szerintem édesmindegy)

"De legyen, a gyerek kapja meg amit megérdemel. Meg a t-systems is, meg a bkk is. "

Félre ne érts, ilyen hulladék szemét, trehány rendszerre usereket ráerszteni óriási baki volt. Bár nem a bkk részéről, hanem a T, mint a rendszert kifejlesztő és üzemeltető alany részéről.

Viszont kimondottan örülök, hogy az önjelölt script kiddyt is megrángatják picit (remélem nem nagyon és majd egy ejnyebejnyével megússza) és a sok buta ember most megtudta a médiából, hogy az ilyesmi bűn. És körberöhögi őket bármelyik biró, bármelyik nyugati országban amikor azzal a blődséggel jön, hogy de a google, meg a microsoft bounty-t fizet.

off: közben kiderült az is, hogy az "éjjel rátörték az ajtót" valójában úgy hangzik, hogy "reggel hétkor bekopogott néhány nyomozó", csak valaki elgépelte véletlenül

Egyre jobb :)

Ugyanakkor a gyilkos fasz mercis szar, jogsi nélkül furikázgat szabadlábon.

--
L

Feleségemet elütötte egy csávó (szokásos P rendszám, drága luxusautó), aki ráadásul szabálytalanul fordult be egy kereszteződésben. 8 napon túli sérülés (törések, zúzódások). Meg akart egyezni velünk, de a rendőrség (vagy ügyészség?) nem engedte, mert priusza volt már. Szerintetek bevitték egyáltalán? Illetve eljött a tárgyalásokra? Vagy elvették a jogosítványát? Kitalálhattátok: nem.

Harmadszorra vezették csak elő a rendőrök (eltelt már nagyjából 1 év) és hozták be a tárgyalásra.

Másik esetben: feleségem barátnőjét zebrán elütötte egy nő és elhajtott. Többiek még el tudtak ugrani (bár ha jól emlékszem egy férfi is megsérül). Egy taxis hajtott utána és állt keresztbe az ámokfutó előtt. Rendőrök rabosították? Elvették a jogosítványát? Nem. Később a nőről kiderült, hogy rosszul lát, elmebeteg (kezelés alatt állt) és ezért nem is lehetne jogosítványa, de egyébként pont ezért nem vonható felelősségre.

Ez a magyar JOGszolgáltatás.

(A biztosítóról ne is beszéljünk, akik egy nevetséges összeget fizettek, majd még vissza akartak kérni belőle, mert szerintük túl sokat adtak. Ekkor mondtam, hogy lófaszt kapnak vissza, pereljenek be minket! Azóta az ügy már elévült.)

Ó hát az csak sajtós hangulatkeltés volt, afféle "irodalmi elem". Különben aki beszopta, az se olvasta még a büntetőeljárásokról szóló törvényt:

158. § (1) A házkutatást, a motozást és a lefoglalás érdekében tett intézkedést az érintett kíméletével, lehetőleg a napnak a hatodik és huszonnegyedik órája között kell végezni.

Felhívom szíves figyelmed a szövegben szereplő "lehetőleg"-szó idő intervallumra gyakorolt értelmezéstágító hatására, amit egyébként a hatóság tetszőleges formában ki is használ.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Kár butthurtkodni, meg fiktív esetekre mutogatni. Be tetszett szopni a bulvárt, ez van.

...legalább is mondod te, ez van.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Úgy érted mondja a házkutatás terheltje, meg a törvény. :)

nem úgy értem - engedelmeddel, ne tudjad már jobban nálam, hogy én mit hogyan értek... :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

És milyen érzés hogy mégis?

azt én nem tudhatom, kérdezd meg magadtól! :D

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ismeretlen tettes, persze. Ismeretlen tette ellen akkor szoktak feljelentést tenni, ha nem akarnak utólag a bíróságra járni rágalmazásért. Tegyük hozzá, nagyon jól tudták ki volt, ezért is talált rá a gyerekre a rendőrség "rekordidő" alatt. Ha nem tudták volna, akkor még mindig keresnék. Vagy nem, és elkövető ismeretlen ment volna a feljelentőnek 1 hónap múlva. Ez Magyarország.

Idézet:
Ismeretlen tette ellen akkor szoktak feljelentést tenni, ha nem akarnak utólag a bíróságra járni rágalmazásért.

Inkább akkor, ha nem biztosak a tettes(ek) kilétében.

Idézet:
nagyon jól tudták ki volt, ezért is talált rá a gyerekre a rendőrség "rekordidő" alatt

Az adatokat, amelyeket tudtak az ügyről, megosztották a rendőrséggel, hogy rá gyanúznak. A rendőrség meg kiment, és meghalgatta a feltételezett gyanúsítottat.

De most képzeld el a szitut: a srác Gipsz Jakab. Megcsinálja ezt a sztorit, létrehoz egy email-címet Ellenség Elemér névvel (akit ugyebár utál), és az ő nevében és adataival megteszi ezt a bejelentést. A logikád szerint Ellenség Elemér ellen tesznek feljelentést.

Hát ehhez azért az is kellene, hogy Ellenség Elemér bankkártyájának fontosabb paramétereit is tudja, mert ugye történt egy vásárlás.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Hm, valóban. Bár azért ez se lehetetlen, ismerve a mai fiatalokat (nem egy olyat hallottam, hogy a "havernak" megadtam a PIN-kódot és odaadtam neki a kártyámat, hogy hozzon már a legközelebbi ATM-ből egy kis pénzt - persze a "haver" némi munkadíjat is beütött az ATM-be).

Jobb, ha eladja 1 btc-ért a darkweben. Utána meg faszrahúzzák a rendszeredet.. gg tényleg hiányzik a verseny a szakmádban.

Marhaság. Három eset van:
1. jó szándékú, segiteni akar: nekem bejelenti és kussol. Ha jófej vagyok megjutalmazom.
2. bohóc script kiddy, aki 5 perc hirnévre vágyik, akkor szalad a sajtóhoz, hogy ő mekkora ász: jó eséllyel feljelenti bármelyik cég a hülyéjét.
3. rossz szándékú: eladja darkweben, pont ugyanúgy ülni fog, ha lebukik

Leírom:
Szánalmas.

"Az e-jegynél is durvább biztonsági hibát találtunk a BKK-nál"

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ezt nem ertem.
O irt egy levelet a

, hogy a kis.pista@gmail cimet toroljek.

Utana arrol szol a cikk, hogy az osszes Kis Pista feljen a neve miatt. De miert? A

nem fogjak torolni emiatt.

Az mas kerdes hogy ettol meg barki irhat barmilyen cimrol hogy az

cimet toroljek, masreszt meg ha a helyes kis.pista@gmailrol irt volna, az sem garancia, mert barki meg tudja ezt tenni

nem a konkrét esethez, de hasonló wtf velem is megtörtént, t-online-os alias cím létrehozása után az új cím beállításakor dőltek a levelek. Nyilván nem ellenőrizték, hogy van-e már olyan cím a rendszerben, csak a meglévőt simán hozzácsapták az én előfizetésemhez.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Remélem, hogy igazi hekker (csoportok) is hallottak az esetről, és kedvet kapnak a T és BKK rendszereinek teljes körű "biztonsági tesztelésére", csakhogy megtudja, ez a két banda, hogy mit is jelent egy igazi hekkertámadás, amit nem egy ovis script kiddie tanonc hajt végre, a hekker könyv bevezetőjének apróbetűs részéből vett példából kiindúlva!

+sok. A t-systems.hu mar elerhetetlen egy ideje. Mar csak azt kene azoknak a csunya (ejnye!) hekkereknek elerni, hogy a shop.bkk.hu-t is lelokjek a netrol, mert az ott megadott szemelyes adatok potencialis veszelyben vannak...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

nekem megy a t- oldala. :)

kép

http://i67.tinypic.com/28vf1nc.jpg

bkk.hu

Sorry, the page you are looking for is currently unavailable.

Saját maguk kapcsolták le?

Áh, akkor majd tényleg lesz kire kenni a szart. Érted, igazából biztonságos volt, csakhát ezek a gonosz bűnöző hekkerek mektámatták...

su

Mind a T, mind a BKK kommunikácója dühítő, de leginkább a rendőrség akciója az ami számomra kiakasztó.

Mindemellett a sajtóban felmerült a KÜRT felelőssége is a biztonsági hibák és a kókler kivitelezés dacára történt üzembe helyezésben, mégsincsenek kereszttűzben - nekem ez is fájó pont. Egy januári közbeszerzés értesítő szerint 234.000.000 Ft + ÁFA közpénzt kaptak a BKK elektronikus jegyrendszerének "információbiztonsági felügyelete és minőségbiztosítása céljából":

http://www.kozbeszerzes.hu/adatbazis/letoltes/portal_536395/ (134.oldal)

Lássuk be, mindnyájan zsebre vágtuk volna ezt a lóvét ezért a megfoghatatlanul semmitmondó módon definiált fake-munkáért.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Lássuk be, ennyi pénzért akár a munkát is elvégezhették volna. Ha valósak a pletykák a sebezhetőségekről (és úgy tűnik hogy legalább a fizetőkapu átverhetősége az), akkor még messziről sem pillantottak rá erre a projektre. :(

Elvégezhették volna - de nem végezték el. Ezt gondolom nem KÜRTölik majd világgá...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Beszélj a magad nevében. Van aki nem azért nem lop, mert látnák, és van olyan is, aki tudja, hogy ezt a pénzt még ha csak "megfoghatatlanul semmitmondó módon definiált fake-munkáért" is akarják kifizetni, akkor is van következménye.

Kicsit kevesebb kockulás, kicsit több szabadidő, és akkor talán a szarkazmus detektor is időben jelez majd! ;)
Egyébként nem vagyok arról meggyőződésem, hogy az auditálást végző cég bármikor is felelősségre lesz vonva.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Az írásodban semmi nem utalt arra, hogy szarkasztikus akartál lenni, ellenben a mostani mondatod végére odakerült a smiley, ami eredetileg pont ezt jelentette :).

(És mivel szeirntem nagyon sokan pont úgy gondolják, ahogy írtad, nem is nagyon van okom feltételezni, hogy ilyet CSAK szarkasztikusan mondhat valaki.)

A szarkazmus lényege, hogy nem kell leírni, szájbarágni, azt anélkül is lehet érezni! Persze ehhez kell egy megfelelő olvasottsági szint, anélkül nem megy... :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

https://hu.wikipedia.org/wiki/Szarkazmus

"A szarkazmust, mivel jellemzően a hanghordozásra támaszkodik, gyakran nehéz észrevenni az írott szövegben, és így rendszeresen félreértik."

Nézd meg mit írtál le, és mond azt őszintén, hogy más által ha ez leírva látod, te ezt egyértelműen megmondod, hogy szarkazmus. Az olvasottsági szintre való utalgatást pedig fontold meg, szerintem nem célszerű másokat ismeretlenül letaplózni.

Mindent félre lehet érteni, és aki akarja, az rendszeresen meg is teszi. Erre egy élő példa vagy! :)
Már nem vagy egészen ismeretlen. :D
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Nem mindent lehet félreérteni, van amit félre lehet érteni, van amit nem. A te mondatodat sem félreérteni lehet, hanem egyszerűen hangsúly és egyéb jelzések nélkül nem azt jelenti, amit te utólag belemagyarázol. Hivatkozol olvasottságra, miközben a szarkazmust definíció szerint rosszul használod, értem, hogy nem ezt akartad kifejezni, de ezt tetted.

"Nem mindent lehet félreérteni, van amit félre lehet érteni, van amit nem."
- De hiszen te is félreértetted!... :D

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Jólkimagyarnekijjemegbele fejezéd magad. ;)
De ez egy jó téma!
A srác helyében (így öregebb fejjel) valamiféle komplex jogi támogatás után néztem volna. Utána még azt is bevallottam volna, amit soha el sem fogok követni. Jöjjön a tárgyalás!
A tárgyalásra be kell kérni a biztonsági auditról készült papiroszokat, átvevőket, aláírókat. Ettől kezdve (a jogi segítséggel) sorban lehet(ne) indítani a (csoportos)pereket, amelyek hamisításról, hibás teljesítésről szólnak. Ezek ugyan nem olyan nagy durranások, de a számviteli törvény megsértése mellett a személyes és pénzügyi adatok biztonságának semmibevételéről szólnak. (Itt azért van egy-két kemény dolog is.) Miközben kiderül az igazság, az eredeti vádlott mehet tovább a feljebbvitelre. :))))
Ilyen esetben az usákok már az első lépések környékén jó vastag peren kívüli megegyezésre hajtanának. Nálunk meg legfeljebb kiderülne az igazság. Ha sikerül kellően fokozni a felhajtást, akkor több cég és vezető hivatalosan hiteltelenné válik a nyilvánosság előtt.

Nagyjából egyetértek, annyit még hozzá, hogy idehaza a hitelesség kérdése talán a legkevésbé szempont, mivel gyakorlatilag nem piaci alapon működik a gazdaság nagy része, így nem kell megküzdeni a státuszért , a brandért , a vásárlókért.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

A feljelentés kapcsán azon gondolkozom, hogy a hétköznapi életben mi a büntetőjogi különbség, ha a sarki boltba a zár mint biztonsági intézkedés meghekkelésével bejutsz, vagy ha egy 10.000 Ft alatti értékű terméket a bolti rendszer figyelmetlenségét kijátszva töredék áron hozod ki?
(Jelen esetben ráadásul azonnal szólsz a boltosnak erről.)

Tudtommal a törvények értelmében ha egy boltban egy áru kiírva és a rendszerbe felvéve különböző áron van, akkor a boltnak kötelező azt a vevő számára kedvezőbb áron adni. Anno morgott is az egyik bolt vezetője, hogy a vevők rendszeresen viccelődnek azzal, hogy kicserélik az árcédulát. Talán errős is szl a biztonsági őr és a biztonsági kamera. Szóval ha egy párosból az egyik tag kicseréli az árcédulát, a másik meg vásárol, akkor bizony a bolt rosszul jár. Nyilván ha a boltban ezt bárki észreveszi, akkor pedig a páros jár rosszul. Ezzel együtt is az értékhatárra figyelni kéne - nem mindegy, hogy a 20 forintos kifli, a 20 ezres konyak, vagy a 20 milliós autó árcéduláját piszkálkák. A BKK-s ügyben egy 10 e ft-os bérlet árcédulájának piszkálása történt, ráadásul miután kiderült, hogy működik a trükk, az "elkövető" jelezte a bolt hivatalos elérhetőségeként kifüggesztett telefonszámon elérhető üzenetrögzítőjén. (Az hogy az /dev/null, azt talán nem neki kell ellenőrizni.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

kifelejtettél egy apró, ám befolyással bíró körülményt: ki és melyik bíróságra szól az "érdekedben"...

--
"a Hungarian Unix Portált [...] szakmai fórumként eszembe nem jut használni, mert a közönség mentalitása miatt nincs értelme."

Nem nagy rejtély, "dolog elleni erőszak" néven megtalálod.