A BKK rendszerének gyengeségeire rámutató diák tette – ha úgy történt, ahogy a sajtóban megjelent – nem bűncselekmény, ehhez elég elolvasnia büntető törvénykönyvet, és valamelyest tisztában lenni azzal, hogy működnek az internetes vásárlási oldalak.

Az általam ismert tényállás szerint a srác a BKK internetes felületének azt a gyengeségét használta ki, hogy a vásárlási folyamat közben megváltoztatta a kiválasztott bérlettípushoz rendelt árat, így a vásárlás feldolgozásakor már az általa módosított árat látta a szerver. Mikor ezt észlelte, azonnal jelezte a hibát a BKK-nak.

Érdemes kicsit elmélyedni a folyamat technikai részleteiben. Minden internetes vásárlás (sőt, lényegében minden weboldallal történő kommunikáció) úgy néz ki, hogy a felhasználó az erre létrehozott felületen közli, mit szeretne (például rákattint egy termékre), majd egy másik gombra rákattintva véglegesíti a nyilatkozatát. A háttérben ekkor az történik, hogy a vásárlási felületet megjelenítő oldalt működtető számítógépes kód átirányítja a felhasználó böngészőjét arra az oldalra, amely feldolgozza a vásárlás adatait, és például kiírja, hogy „Rendelését rögzítettük, stb.”, vagy éppen továbbirányít a kártyás fizetés oldalára.

Pixabay / markusspiske

Témánk szempontjából most annak van jelentősége, hogy a feldolgozást végző oldal (pontosabban az azt működtető kód) hogyan kapja meg a vásárlás adatait. A feldolgozást végző oldal is ugyanolyan internetes oldal ugyanis, mint bármelyik másik, azzal a különbséggel, hogy ha megkapja a megfelelő adatokat, akkor lefuttatja a rendelés feldolgozását, majd kiírja a végeredményt. Minthogy azonban a böngésző szempontjából csak egy újabb internetes oldalról van szó, a böngészőnek szüksége van arra a címre, ahonnan az oldalt be tudja tölteni.

Míg tehát például a webshop megjelenítését a https://www.valamilyenwebshop.hu/index.html címen elérhető oldal (mögött futó program) végzi, addig a rendelés feldolgozását a https://www.valamilyenwebshop.hu/dolgozdfelarendelest.php címen elérhető oldal. Ez utóbbinak tehát szüksége van a rendelés adataira. Az adatok átadásának egyik módszere, hogy az adatok bele vannak írva magába az internetes címbe (URL-be, Universal Resource Locator), például így: https://www.valamilyenwebshop.hu/ dolgozdfelarendelest.php?termek=berlet&mennyiseg=2. E példában a feldolgozó program már tudja, hogy a vevő 2 darab bérletet vásárol. (Megjegyzendő, hogy az adatátadásnak ennél biztonságosabb módja is van, de témánk szempontjából ez kevésbé jelentős.)

A probléma a következő: az internetes cím megjeleníthető a böngésző címsorában, ott, ahol például be szoktuk írni, hogy melyik oldalt kívánjuk megnyitni. Ha viszont megjelenik a címsorban, akkor át is írható, így az iménti példa szerinti URL-ben is átírható bármely paraméter értéke (például a 2-es helyett beírható más szám).

További probléma, hogy az általam ismert tényállás szerint az adott esetben az URL nem csak a termék megjelölését és mennyiségét tartalmazta, hanem az árat is, holott ez az információ számított adat, tehát elegendő lett volna ha a feldolgozást végző program megkérdezi az adatbázistól, mennyibe kerül egy darab bérlet, majd azt beszorozza a kapott mennyiséggel, s máris megkapja a rendelés végösszegét. Hogy a BKK oldala miért nem így működik, azt csak ők és a fejlesztők tudják.

Nézzük ezek után a cselekmény büntetőjogi megítélését. A Btk. szerint az adott cselekményre a következő bűncselekmények jöhetnek szóba:

információs rendszer felhasználásával elkövetett csalás (375. §), illetve az információs rendszer vagy adat megsértése (423. §).

Az első bűncselekményt az követi el, aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz. Mint látható, e bűncselekmény megvalósulásához elengedhetetlen a jogtalan haszonszerzési célzat: az elkövető szándékának arra kell irányulnia, hogy cselekménye révén jogtalan haszonra tegyen szert.

Kevés olyan csalót ismernek a bűnügyi annalesek, aki kísérletképpen csalt, majd a megtéveszthetőségre felhívta áldozata figyelmét, s az adott esetben is biztonsággal kijelenthető, hogy a srác szándéka nem a jogtalan haszonszerzésre, hanem a rendszer hibáinak feltárására irányult. Hasonlóképpen a bűncselekménnyé minősítés elengedhetetlen feltétele a károkozás, márpedig ez utóbbi sem valósult meg, hiszen nem állapítható meg, hogy az elkövető az olcsón vett bérlettel használta volna a BKK szolgáltatásait.

MTI / Balogh Zoltán

A másodikként említett bűncselekményt az követi el, aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad. Ugyancsak e bűncselekmény miatt büntetendő, aki

(a) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy

(b) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz. Ebben az esetben nincs szükség tehát sem jogtalan haszonszerzési célzatra, sem károkozásra a bűncselekmény megvalósulásához. A törvény ugyanakkor megkívánja valamely, a rendszer védelmét biztosító technikai intézkedés, illetve meghatározott jogosultsági keretek létezését.

Nyugodtan kijelenthető, hogy egy olyan rendszerben, amely a fentiekben leírt módon lehetővé teszi, hogy a böngésző címsorába beírt adat szolgáljon a vásárlás alapjául, ne pedig az, amit a rendszer egy adatbázisból kérdez le, nem létezik sem technikai intézkedés, sem jogosulsági korlát. Minden felhasználó azt tesz egy ilyen rendszerrel, amit csak akar.

A hacker srác cselekménye tehát épp annyira bűncselekmény, mint amennyire magánlaksértés az, ha valaki nyitva talál egy bejárati ajtót, ezért bemegy, hogy szóljon a háziaknak, hogy védtelenek.

(A szerző jogász.)

Ha kíváncsi az ügy fejleményeire, lájkolja a HVG Tech rovatának Facebook-oldalát.