Jelentkezett a Telexnél Nerbot, a nemzeti konzultációs honlap „meghekkelője”
2020. szeptember 26. – 14:27
frissítve
(Ez a cikk eredetileg a Telex.hu elindulása előtt, lapunk Facebook-oldalán jelent meg 2020. szeptember 12-én.)
---
A hét elején elég nagy port kavart, és végül rendőrségi feljelentést eredményezett Hadházy Ákos független országgyűlési képviselő egy Facebook-posztja. Hadházy egy Nerbot nevű felhasználó YouTube-profilját osztotta meg, amelyen több órányi képernyőfelvétel látható arról, ahogy az online nemzeti konzultációt egy bot (automata program) tölti ki több ezres nagyságrendben, hamis adatokkal.
A konzultációs honlapról már korábban kiderült, hogy bármilyen – akár teljesen kamu – adatokkal is kitölthető újra és újra, Nerbot esete pedig azt is megmutatja, milyen gyatrán sikerült a weboldal fejlesztése. Bár a kormány Hadházy posztja nyomán kibertámadásról kezdett beszélni, feljelentést ígért („a hivatalos szervek jelenleg vizsgálják, hogy a büntető törvénykönyv mely passzusait szegték meg a hackerek” – írta az esetről a Magyar Nemzet), a Telexhez eljutott információk szerint végtelenül egyszerű, a klasszikus hekkerkedéstől távol álló módon babrálták meg az alapvető biztonsági hiányosságokat felvonultató oldalt.
Jelentkezett ugyanis lapunknál a Nerbot készítője, aki saját bevallása szerint egy 40 év körüli, budapesti, hobbiból programozni tanuló férfi. Azt írta nekünk, az eset háttere annyi, hogy meg akart tanulni bővítményt készíteni böngészőhöz, így próbaként elkezdett írni egyet, amely véletlenszerű adatokkal tölti ki a konzultációt. Amennyiben a fejlesztők jó munkát végeznek, egy ilyen bővítmény nem lenne működőképes, ugyanis az ilyen oldalakra jellemző módon a nemzeti konzultáció is tartalmaz egy reCaptcha-t (tudják, ez az, amikor a képek közül ki kell választani a tűzcsapot, hidat, jelzőlámpát, stb. mutatókat). A reCaptcha pont azért felel, hogy kiszűrje a gyanús – pl. bot általi tömeges – kitöltéseket, a nemzeti konzultációs honlapon azonban ez a fajta védelem egyszerűen nem működött, így a kitöltés folyamatosan pöröghetett – írta a Telexnek Nerbot, aki szerint szó sincs hekkelésről, a reCaptcha feltöréséről, az automata kitöltéshez a legelemibb programozói tudás is elég volt (a bővítmény kódját bizonyíték gyanánt el is küldte a Telexnek).
Nem ez az első nemzeti konzultáció, aminek online változata kínos baki miatt kerül a hírekbe. A 2017 tavaszi felvonásban az okozott kisebb botrányt, hogy a weboldal kódjában szerepelt a Yandex nevű, az orosz titkosszolgálattal kapcsolatban álló IT-cég forgalomfigyelő mérőkódja. Miután a sajtó megszellőztette az aggasztó jelenséget, a Yandex-kód egy napon belül eltűnt a honlapról.
A Nerbot-eset után megkérdeztük a Miniszterelnöki Kabinetirodát, milyen cég, mennyi pénzért fejlesztette a jelek szerint elég gyengére sikerült aktuális konzultációs weboldalt, de egyelőre nem kaptunk választ. A tömeges kitöltésekkel kapcsolatban a feljelentés ténye mellett korábban még annyit közöltek, hogy ezeket a válaszokat az értékeléskor nem fogják figyelembe venni. Kerestük a rendőrséget is, hogy megtudjuk, indult-e nyomozás a feljelentés nyomán, amint válaszolnak, frissítjük a posztot. Nerbot mindenesetre azt írta nekünk, őt még nem kereste a rendőrség.