Разделы

ПО Безопасность Бизнес Телеком Маркет

Телеком-гигант пытается посадить в тюрьму ИТ-эксперта, показавшего ему фатальную «брешь»

Эксперт по безопасности нашел две крупные проблемы в сетях MagyarTelekom. Он уведомил владельцев компании о первой своей находке. После обнаружения второй уязвимости на него подали жалобу в полицию. Защита утверждает, что из обвинительного заключения вообще невозможно понять, в чем вина подсудимого.

Несостоявшиеся сделки

Хакер, обнаруживший уязвимости в системах крупной венгерской телекоммуникационной фирмы, попал под суд по жалобе ее представителей. При наихудшем исходе ему грозят до восьми лет тюрьмы. Об этом сообщил венгерский ресурс hungarytoday.hu.

Эксперт по безопасности, имя которого источники не называют, в апреле 2018 г. обнаружил серьезную уязвимость в системах компании Magyar Telekom. Он надлежащим образом уведомил компанию о своей находке, и его пригласили на встречу с руководителями. На ней вскользь прозвучали слова о возможном сотрудничестве, но это ни во что не материализовалось.

Хакер продолжал тестировать системы Magyar Telekom на возможность проникновения и в начале мая 2018 г. нашел еще одну брешь, которая позволяла получить доступ ко всему трафику (и деловому, и гражданскому), а также мониторить серверы компаний, обслуживаемых «дочкой» Magyar Telekom — T-Systems Hungary.

В тот же день представители Magyar Telekom подали в полицию жалобу на вторжение неизвестного хакера, что привело к аресту эксперта по безопасности.

deutschetelekom.jpg
В Венгрии судят «этического» хакера за обнаружение уязвимостей у крупного телекома

Прокуратура требует для обвиняемого реального тюремного срока. Изначально хакеру предлагали признать вину в обмен на двухлетний условный срок. Он отказался, и тогда следствие переквалифицировало обвинение на более тяжкое (нарушение работы коммунального предприятия), по которому подсудимому грозят 8 лет реального срока.

В чем его обвиняют

Его защиту на себя взял Венгерский союз за гражданские права, некоммерческая организация, которой уже доводилось защищать экспертов по информационной безопасности в подобных случаях. В частности она отстаивала права 18-летнего студента, который обнаружил грандиозную уязвимость в билетной системе крупной транспортной компании Будапешта (BKK) и уведомил об этом администраторов BKK. Вместо благодарности его попытались засудить.

Сейчас в рамках нового дела защитники заявляют, что из документов обвинения вообще невозможно понять, чего такого уголовно наказуемого совершил подсудимый: по мнению защиты, в обвинительном заключении нет данных о том, где, когда и каким именно образом было совершено инкриминируемое деяние.

Прокуратура настаивает на том, что все документы в порядке, и что защита обвиняемого пытается все представить в ложном свете. Заявления о том, что подобные «этические» хакеры действуют в интересах общества, прокуроры опровергают доводами о том, что данный конкретный эксперт по безопасности переступил черту и его действия несли больше угрозы, чем пользы для общества.

«Не зная всех деталей дела, сложно судить о правомерности преследования эксперта по безопасности, однако если он только нашел какие-либо уязвимости, и не пытался эксплуатировать их с причинением реального ущерба, то судить его не за что, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Однако нередки случаи, когда крупные коммерческие организации пытаются переложить ответственность за собственные промахи на тех, кто привлек к ним общественное внимание. Последствия для самих экспертов в таких случаях зависят уже от локальных особенностей судебного производства».

Роман Георгиев