Szerző: Joób Sándor
2017.07.26.
Egy hete áll a bál a BKK e-jegyének elfuserált bevezetése miatt. Az egyik főszereplő egy tizenéves fiatal, aki észrevett egy rést a rendszeren, és szólt a BKK-nak, mégis elvitték a rendőrök a programot fejlesztő T-Systems feljelentése nyomán. Ám nem ő az egyetlen hekker, akivel a Telekom-csoport keményen bánt: egy huszonéves fiatal idén áprilisban fedezett fel komoly biztonsági rést a cégnél. Ezt jelezte, majd behívták, még a közös munka is szóba került. Ő tovább tesztelte a rendszert, aminek a vége az lett, hogy hozzá is rendőrök csöngettek be.
András (a nevet megváltoztattuk) a húszas évei elején jár. Egy vidéki főiskolán programozónak tanul, de hobbiszinten érdeklődik az informatikai biztonság iránt is. Idén tavasszal egy olcsóbb díjcsomagra váltott a Telekomnál. Olyan DNS-kiszolgálót keresett, amellyel jobban tud internetezni. Ez a módszer teljesen legális.
Böngészgetett, és a Telekom weboldalán rábukkant egy olyan pdf-fájlban olvasható felhasználói útmutatóra, amiben szerepelt egy DNS-kiszolgáló IP-címe. Végzett egy rutinvizsgálatot erre az IP-címre, majd meglepve tapasztalta, hogy innen viszonylag könnyen hozzájutott egy rendszergazdai jelszóhoz. Ez a jelszó egy olyan fejlesztői szerverre szólt, ahonnan tovább lehetett lépni a Telekom teljes hálózatába. András tehát nem túl bonyolult módon, a nyilvános weboldalon, sima, szöveges formában kint hagyott adatok segítségével be tudott jutni a Telekom belső hálózatába.
András megkereste a Telekomot, és jelezte a cégnek, hogy súlyos biztonsági rést talált. A Telekom szakemberei elhívták a budapesti székházba, hogy személyesen mesélje el tapasztalatait. András írt egy 7 oldalas dokumentációt, majd elutazott Budapestre...
Nincsenek megjegyzések:
Megjegyzés küldése
Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.