Szeretne azonnal értesülni a legfontosabb hírekről?
Az értesítések bekapcsolásához kattintson a "Kérem" gombra!
Az értesítés funkció az alábbi böngészőkben érhető el: Chrome 61+, Firefox 57+, Safari 10.1+
Köszönjük, hogy feliratkozott!
Hoppá!
Valami hiba történt a feliratkozás során, az oldal frissítése után kérjük próbálja meg újra a fejlécben található csengő ikonnal.
Már feliratkozott!
A böngészőjében az értesítés funkció le van tiltva!
Ha értesítéseket szeretne, kérjük engedélyezze a böngésző beállításai között, majd az oldal frissítése után kérjük próbálja meg újra a fejlécben található csengő ikonnal.
[{"available":true,"c_guid":"83c49d99-967c-41c6-9db1-9ebadafb6d4f","c_author":"hvg.hu","category":"elet","description":"A hatóságok az összes állatot elkobozták. ","shortLead":"A hatóságok az összes állatot elkobozták. ","id":"20250602_Majdnem-otven-merges-kigyot-akart-csomagjaban-a-repulore-csempeszni-foto","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/83c49d99-967c-41c6-9db1-9ebadafb6d4f.jpg","index":0,"item":"70f5510a-53b3-427b-9104-e6ebb8a44659","keywords":null,"link":"/elet/20250602_Majdnem-otven-merges-kigyot-akart-csomagjaban-a-repulore-csempeszni-foto","timestamp":"2025. június. 02. 12:42","title":"Majdnem ötven mérges kígyóval kaptak el egy férfit a mumbai reptéren","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"00ea33d8-643e-4a30-ae43-ca88ddacb8a2","c_author":"HVG","category":"vilag","description":"Az eddigi legnagyobb támadását hajtotta végre Ukrajna, ráadásul orosz területről, előre elrejtett drónokkal támadták a légi bázisokat. Legalább negyven orosz harci gépet semmisítettek meg vagy tettek használhatatlanná.","shortLead":"Az eddigi legnagyobb támadását hajtotta végre Ukrajna, ráadásul orosz területről, előre elrejtett drónokkal támadták...","id":"20250601_ukrajna-oroszorszag-haboru-dron-tamadas-bombazo","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/00ea33d8-643e-4a30-ae43-ca88ddacb8a2.jpg","index":0,"item":"92f2837d-066e-4dc6-a60e-c9b6b60e4f8d","keywords":null,"link":"/vilag/20250601_ukrajna-oroszorszag-haboru-dron-tamadas-bombazo","timestamp":"2025. június. 01. 18:44","title":"Tucatjával lőtték ki az ukránok az orosz bombázókat Oroszországba csempészett drónokkal","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"d19c5636-537a-4f92-a127-cb481438f723","c_author":"HVG","category":"itthon","description":"Az aHang által meghirdetett Néma menet célja, hogy tiltakozzon a független sajtó és a civilek ellehetetlenítése ellen. ","shortLead":"Az aHang által meghirdetett Néma menet célja, hogy tiltakozzon a független sajtó és a civilek ellehetetlenítése ellen. ","id":"20250601_Leragasztott-szajjal-vonulnak-at-a-tuntetok-a-Szabadsag-hidon","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/d19c5636-537a-4f92-a127-cb481438f723.jpg","index":0,"item":"ea0f9a93-98ca-4d2d-a743-60e526f9af1b","keywords":null,"link":"/itthon/20250601_Leragasztott-szajjal-vonulnak-at-a-tuntetok-a-Szabadsag-hidon","timestamp":"2025. június. 01. 16:36","title":"Leragasztott szájjal vonulnak át a tüntetők a Szabadság hídon","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"fdc1bc50-caa2-47d4-ad6a-2ce688293d94","c_author":"HVG","category":"gazdasag","description":"Amikor az embernek van egy jó ötlete, miből alapíthatná meg a saját cégét, könnyen ijedhet meg a sok hivatalos tennivalótól. Nekik segítünk eligazodni a bürokrácia, az adózás és a munkatársakkal kapcsolatos ügyintézés útvesztőiben.","shortLead":"Amikor az embernek van egy jó ötlete, miből alapíthatná meg a saját cégét, könnyen ijedhet meg a sok hivatalos...","id":"20250602_kasszakulcs-vallalkozas-inditas-podcast","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/fdc1bc50-caa2-47d4-ad6a-2ce688293d94.jpg","index":0,"item":"ffc7af30-03ac-4f2f-9311-8dfbaf9e8f25","keywords":null,"link":"/gazdasag/20250602_kasszakulcs-vallalkozas-inditas-podcast","timestamp":"2025. június. 02. 05:50","title":"Hogyan indítsak vállalkozást? – Kasszakulcs","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"1629f85b-0df5-47d1-9327-74ff347c5800","c_author":"HVG","category":"elet","description":"Hírességek és politikai vezetők is gyakran szokták köszönteni a kerékpárosokat, de az így is meglepetés volt, amikor a Giro d’Italia záró szakaszán megjelent a pápa.","shortLead":"Hírességek és politikai vezetők is gyakran szokták köszönteni a kerékpárosokat, de az így is meglepetés volt, amikor...","id":"20250601_giro-papa-kerekpar","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/1629f85b-0df5-47d1-9327-74ff347c5800.jpg","index":0,"item":"955a3667-85ce-4607-af44-b8924e12619f","keywords":null,"link":"/elet/20250601_giro-papa-kerekpar","timestamp":"2025. június. 01. 19:18","title":"Megállt a Giro mezőnye Rómában, amikor a pápa kiment fogadni őket","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"e395feb9-bfc1-4a15-8127-fdf92334983e","c_author":"hvg.hu","category":"itthon","description":"A férfit azzal gyanúsítják, hogy egykori pártfogoltjait prostituáltként futtatta. Állítólag éveken keresztül több jelzés is érkezett, hogy gyanúsan viselkedik fiatal lányokkal. Egyik munkahelyén fegyelmi eljárás is indult ellene. ","shortLead":"A férfit azzal gyanúsítják, hogy egykori pártfogoltjait prostituáltként futtatta. Állítólag éveken keresztül több...","id":"20250602_javitointezet-kinevezes-volt-felettese-nem-javasolta","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/e395feb9-bfc1-4a15-8127-fdf92334983e.jpg","index":0,"item":"6f5743a9-8cd3-40ac-ab20-7d00ed33f160","keywords":null,"link":"/itthon/20250602_javitointezet-kinevezes-volt-felettese-nem-javasolta","timestamp":"2025. június. 02. 13:43","title":"444: Volt felettese nem javasolta, hogy J. Pétert kinevezzék a Szőlő utcai javítóintézet élére","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"e2baa532-937c-4a21-b3c6-4d0c492ed8a5","c_author":"HVG","category":"tudomany","description":"Igencsak jól jött és jön a korszerű grafikus processzorairól ismert Nvidiának a mesterséges intelligencia előretörése. Most is egy újabb világrekordot mondhat a magáénak ennek köszönhetően.","shortLead":"Igencsak jól jött és jön a korszerű grafikus processzorairól ismert Nvidiának a mesterséges intelligencia előretörése...","id":"20250531_nvidia-a-mesterseges-intelligencia-benchmark-teljesitmeny","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/e2baa532-937c-4a21-b3c6-4d0c492ed8a5.jpg","index":0,"item":"4150cfdc-7ae1-40e6-81fb-f42861ac9b94","keywords":null,"link":"/tudomany/20250531_nvidia-a-mesterseges-intelligencia-benchmark-teljesitmeny","timestamp":"2025. május. 31. 20:03","title":"Megvan az új világrekord, új korszak jöhet: már ennyire gyors a mesterséges intelligencia","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null},{"available":true,"c_guid":"e5652bba-a82a-410d-b4cb-2b534c439724","c_author":"HVG","category":"tudomany","description":"Jön a néhai Twitter üzenetküldő szolgáltatása, ami – a platform új neve, az X után – nem meglepő módon az XChat nevet kapja. ","shortLead":"Jön a néhai Twitter üzenetküldő szolgáltatása, ami – a platform új neve, az X után – nem meglepő módon az XChat nevet...","id":"20250602_elon-musk-x-xchat-uzenetkuldo-funkcio-titkositas","image":"https://img.hvg.hu/Img/ffdb5e3a-e632-4abc-b367-3d9b3bb5573b/e5652bba-a82a-410d-b4cb-2b534c439724.jpg","index":0,"item":"32e91577-03ef-4215-8e34-c6b7ada4ecde","keywords":null,"link":"/tudomany/20250602_elon-musk-x-xchat-uzenetkuldo-funkcio-titkositas","timestamp":"2025. június. 02. 14:03","title":"Riválist kap a Messenger, a Signal és a többi üzenetküldő – jöhet, amit Elon Musk évek óta emleget","trackingCode":"RELATED","c_isbrandchannel":false,"c_isbrandcontent":false,"c_isbrandstory":false,"c_isbrandcontentorbrandstory":false,"c_isbranded":false,"c_ishvg360article":false,"c_partnername":null,"c_partnerlogo":"00000000-0000-0000-0000-000000000000","c_partnertag":null}]
Kevés olyan csalót ismernek a bűnügyi annalesek, aki kísérletképpen csalt, majd a megtéveszthetőségre felhívta áldozata figyelmét.
A BKK rendszerének gyengeségeire rámutató diák tette – ha úgy történt, ahogy a sajtóban megjelent – nem bűncselekmény, ehhez elég elolvasnia büntető törvénykönyvet, és valamelyest tisztában lenni azzal, hogy működnek az internetes vásárlási oldalak.
Az általam ismert tényállás szerint a srác a BKK internetes felületének azt a gyengeségét használta ki, hogy a vásárlási folyamat közben megváltoztatta a kiválasztott bérlettípushoz rendelt árat, így a vásárlás feldolgozásakor már az általa módosított árat látta a szerver. Mikor ezt észlelte, azonnal jelezte a hibát a BKK-nak.
Érdemes kicsit elmélyedni a folyamat technikai részleteiben. Minden internetes vásárlás (sőt, lényegében minden weboldallal történő kommunikáció) úgy néz ki, hogy a felhasználó az erre létrehozott felületen közli, mit szeretne (például rákattint egy termékre), majd egy másik gombra rákattintva véglegesíti a nyilatkozatát. A háttérben ekkor az történik, hogy a vásárlási felületet megjelenítő oldalt működtető számítógépes kód átirányítja a felhasználó böngészőjét arra az oldalra, amely feldolgozza a vásárlás adatait, és például kiírja, hogy „Rendelését rögzítettük, stb.”, vagy éppen továbbirányít a kártyás fizetés oldalára.
Pixabay / markusspiske
Témánk szempontjából most annak van jelentősége, hogy a feldolgozást végző oldal (pontosabban az azt működtető kód) hogyan kapja meg a vásárlás adatait. A feldolgozást végző oldal is ugyanolyan internetes oldal ugyanis, mint bármelyik másik, azzal a különbséggel, hogy ha megkapja a megfelelő adatokat, akkor lefuttatja a rendelés feldolgozását, majd kiírja a végeredményt. Minthogy azonban a böngésző szempontjából csak egy újabb internetes oldalról van szó, a böngészőnek szüksége van arra a címre, ahonnan az oldalt be tudja tölteni.
Míg tehát például a webshop megjelenítését a https://www.valamilyenwebshop.hu/index.html címen elérhető oldal (mögött futó program) végzi, addig a rendelés feldolgozását a https://www.valamilyenwebshop.hu/dolgozdfelarendelest.php címen elérhető oldal. Ez utóbbinak tehát szüksége van a rendelés adataira. Az adatok átadásának egyik módszere, hogy az adatok bele vannak írva magába az internetes címbe (URL-be, Universal Resource Locator), például így: https://www.valamilyenwebshop.hu/ dolgozdfelarendelest.php?termek=berlet&mennyiseg=2. E példában a feldolgozó program már tudja, hogy a vevő 2 darab bérletet vásárol. (Megjegyzendő, hogy az adatátadásnak ennél biztonságosabb módja is van, de témánk szempontjából ez kevésbé jelentős.)
A probléma a következő: az internetes cím megjeleníthető a böngésző címsorában, ott, ahol például be szoktuk írni, hogy melyik oldalt kívánjuk megnyitni. Ha viszont megjelenik a címsorban, akkor át is írható, így az iménti példa szerinti URL-ben is átírható bármely paraméter értéke (például a 2-es helyett beírható más szám).
További probléma, hogy az általam ismert tényállás szerint az adott esetben az URL nem csak a termék megjelölését és mennyiségét tartalmazta, hanem az árat is, holott ez az információ számított adat, tehát elegendő lett volna ha a feldolgozást végző program megkérdezi az adatbázistól, mennyibe kerül egy darab bérlet, majd azt beszorozza a kapott mennyiséggel, s máris megkapja a rendelés végösszegét. Hogy a BKK oldala miért nem így működik, azt csak ők és a fejlesztők tudják.
Nézzük ezek után a cselekmény büntetőjogi megítélését. A Btk. szerint az adott cselekményre a következő bűncselekmények jöhetnek szóba:
információs rendszer felhasználásával elkövetett csalás (375. §), illetve az információs rendszer vagy adat megsértése (423. §).
Az első bűncselekményt az követi el, aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz. Mint látható, e bűncselekmény megvalósulásához elengedhetetlen a jogtalan haszonszerzési célzat: az elkövető szándékának arra kell irányulnia, hogy cselekménye révén jogtalan haszonra tegyen szert.
Kevés olyan csalót ismernek a bűnügyi annalesek, aki kísérletképpen csalt, majd a megtéveszthetőségre felhívta áldozata figyelmét, s az adott esetben is biztonsággal kijelenthető, hogy a srác szándéka nem a jogtalan haszonszerzésre, hanem a rendszer hibáinak feltárására irányult. Hasonlóképpen a bűncselekménnyé minősítés elengedhetetlen feltétele a károkozás, márpedig ez utóbbi sem valósult meg, hiszen nem állapítható meg, hogy az elkövető az olcsón vett bérlettel használta volna a BKK szolgáltatásait.
MTI / Balogh Zoltán
A másodikként említett bűncselekményt az követi el, aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad. Ugyancsak e bűncselekmény miatt büntetendő, aki
(a) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy
(b) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz. Ebben az esetben nincs szükség tehát sem jogtalan haszonszerzési célzatra, sem károkozásra a bűncselekmény megvalósulásához. A törvény ugyanakkor megkívánja valamely, a rendszer védelmét biztosító technikai intézkedés, illetve meghatározott jogosultsági keretek létezését.
Nyugodtan kijelenthető, hogy egy olyan rendszerben, amely a fentiekben leírt módon lehetővé teszi, hogy a böngésző címsorába beírt adat szolgáljon a vásárlás alapjául, ne pedig az, amit a rendszer egy adatbázisból kérdez le, nem létezik sem technikai intézkedés, sem jogosulsági korlát. Minden felhasználó azt tesz egy ilyen rendszerrel, amit csak akar.
A hacker srác cselekménye tehát épp annyira bűncselekmény, mint amennyire magánlaksértés az, ha valaki nyitva talál egy bejárati ajtót, ezért bemegy, hogy szóljon a háziaknak, hogy védtelenek.
A BKK jegyárusító-rendszerével kapcsolatos események fontos kiberbiztonsági kérdésekre hívták fel a figyelmet. A jóhiszemű fiatal vajon etikusan járt el? Hogy segíthet egy felhasználó biztonsági rés felfedezése esetén? A rendszerek fejlesztői és üzemeltetői milyen módszerekkel vonhatják be a tesztelésbe a felhasználókat? Az ügy komoly média- és közfigyelmet kapott, ami remek lehetőség a szakmai párbeszéd felgyorsítására és az úgynevezett "responsible disclosure" irányelvek meghatározására. Vélemény.