Új hozzászólás Aktív témák
-
Te hol olvastad milangfx írásában, hogy az eset a GDPR életbe lépését követően, 2018.05.25 után történt?
Feltételezem, hogy nem önként törpként kereste a hibát a rendszeren, mert az hazánkban bűncselekmény. Ha meg valami keretében, akkor gondolom arra vagy kiírás volt, ahol leírták a szabályokat, vagy volt egy szerződés, aminek talán volt egy titoktartási nyilatkozat része is, ami leszabályozta, hogy mennyire ugrálhatott. Nem túl jó példa, de ha könyvelő vagy, s mondod az ügyfélnek, hogy adót csalt, és illene javítani az adóbevalláson, akkor ha 1 hónap múlva nem csinált semmit, akkor se nyomod fel a NAV-nak.A BKK-s botrányban pedig a srác tényleg nem volt egy szent. Amit vele tettek, az tényleg bicskanyitogató, nem kellett volna feljelenteni, a rendőrségnek így eljárni. Elhiszem, hogy a jó szándék vezérelte, s nagy tehetsége van hozzá, de érdemes lett volna, ha nem csak a hogyan hackeljük weblapot faq olvassa el, hanem, a hogyan jelezzük a bugokat faq is. Elvégre ha jó szándékú az ember, akkor azért próbálja meg hackelni a weblapot, hogy a hibát jelezhesse, szóval, ezért illene előbb azt elolvasni...
Viszont jó, hogy mondod, hogy ilyen esetben mielőtt az ember aláírná az etikus hackelésről szóló szerződést jelezze, hogy ácsi, gondok vannak, mert a GDPR is szabályozza, hogyha valamit találok, és az személyes adatot is érint, akkor azt nekem x napon belül az állam felé is jeleznem kell.
-
Írta, hogy 90 napot várt. Ez szerintem megfelel a "józan ész alapján tegyen bejelentést" elvnek. Általában ennyi idő után szokás a feltárt sérülékenységet nyilvánosságra hozni. Ő jelezte a hatóságoknak.
Én olyat olvastam, hogy az engedély nélküli hackelést az infotörvény bünteti. Ezért nem is csinálnám hobbi célból, csak, hogy megkereshessem a céget, hogy bénák vagytok, én meg ügyes. Ha nem vagyok kellően körültekintő és anonim, akkor egy ilyen bejelentés után teljesen törvényesen ugrálhatnak át a rendőrök hajnali 4kor a kerítésemen.
Igazad van, ne legyünk jóhiszeműek, hogy szerződés/felhívás alapján járt el, viszont írta, hogy szólt a govcertnek.
Viszont a Govcertes bejelentés is szó-szó. Most így elolvasva, ők
a magyarországi kommunikációs hálózat
állami/önkormányzati intézmények
állami/önkormányzati (rész)tulajdonú vállalatok
stratégiai fontosságú vállalatok
esetén illetékesekIlletve (önként) vállalták, hogy ezen a körön kívüli intézményekre vonatkozó biztonsági incidens bejelentéseket is fogadnak, és azt továbbítják az érintett szervezet felé. Az mondjuk érdekelne, hogy ki ez a szervezet?
pl. Nagymami Bt weblapja esetén a Nagymami Bt-nek szólnak ők is, vagy szólnak a rendőrségnek is, naih? Vagy NSA-hoz hasonlóan építik a tudásbázist, hogy kell betörni a Nagymami Bt weblapjára?Ha személyes adathoz nem lehet hozzáférni, akkor nem tudom, hogy egy ilyen bejelentés mit ér?
-
Megértem amit mondasz. De nekünk akkor sajnos volt egy infótörvényünk, ami céljától függetlenül bármilyen hacker tevékenységet, bűncselekménynek minősített. Ez alól egyetlen kivétel az volt, ha téged írásos szerződéssel megbíztak egy etikus hackelésre.
Hogy mért így volt leszabályozva, arra tavaly mondtak egy példát:
Tegyük fel, hogy te pénz szerzés céljából meg akarod hackelni a helyi bank informatikai rendszerét. Sajnos nem vagy elég körültekintő, és rájössz, hogy lebuktál, vagy legalábbis hagytál magad után egy nyomot ami alapján le fogsz bukni. A pénzt még nem utaltad át a Kuala Lumpuri számládra. Ha az előre nem egyeztetett etikus hackelést a törvény nem büntetné, akkor megtehetnéd, hogy kalapot váltasz, és írsz egy levelet, hogy Hóhó bank, vigyázzatok, sérülékenyek vagytok, karitatív munkában kiszúrtam nálatok egy hibát, s x év letöltendő helyett x jutalmat kapsz. -
Boccs, de te reflektáltál így a 45-ös hozzászólásodban:
"tobb mint 90 napot vartam mielott megkerestem a govcert-et.": ha 90 napig hagytad, hogy hozzáférjenek személyes adatokhoz, akkor te sokkal inkább bűnös vagy, mint a tini, akit fikázol. a govcertet azonnal megkereshetted volna, amikor kiderül a hiba, akár még a webhelyet üzemeltetők előtt.
remélem azóta olvastad a gdpr-t, amiben vannak erre határidők.
Én erre írtam, hogy nem valószínű, hogy másként is eljárhatott volna, mert valszeg szerződése volt, ami kizárta, hogy másnap feljelentést tegyen a govcertnél. Vagy ha megtette volna, és elterjed a híre, akkor nem nagyon kapott volna új megrendelést, mert talán amit a cégek jobban utálnak annál, ha hackerek vájkálnak az üzleti rendszerekben, az ha ezt egy hivatal teszi úgy, hogy még egy zaftos bírságot is hagy maga után.
[ Szerkesztve ]
Új hozzászólás Aktív témák
it Az esemény díjra volt nevezve, de nem lehetünk rá túl büszkék.
