Így is lehet: egy olvasónk hibát jelzett egy informatikai rendszerben, a fejlesztő jutalmat ajánlott neki
2023. március 2. – 10:21
Február elején levelet kaptunk egy olvasónktól. Leírta, hogy az Országos Dokumentum-ellátási Rendszerben talált egy informatikai hibát, amelyet kihasználva szerinte túlterheléses támadás indítható az oldal ellen. „Jelezném nekik a hibát, de nem szeretnék úgy járni, mint a BKV bérletes botrányát kirobbantó informatikus” – tette hozzá, miért nem a fejlesztőt értesítette az általa talált sérülékenységről.
Ezzel arra a 2017-es ügyre utalt, amikor egy 18 éves fiatal jelezte a BKK-nak, hogy hibát talált a frissen bevezetett online jegyértékesítési rendszerükben, de a rendszert fejlesztő T-Systems feljelentette, házkutatást is tartottak nála, és csak egy bő hónappal később mondta ki a bíróság, hogy jóhiszeműen járt el, és nem követett el bűncselekményt. Az eset akkoriban nagy felháborodást váltott ki, és bár arról már akkor is megoszlottak a vélemények, hogy lehet-e etikus hekkernek tekinteni valakit, aki nem egy cég felhívására, hanem önkéntesen keres hibát a rendszerében, az biztos, hogy a történtek nem sok mindenki kedvét hozhatták meg ahhoz, hogy ha sérülékenységbe botlanak, értesítsék róla a fejlesztőt.
Ezt mutatja az olvasónk esete is, ez azonban teljesen más véget ért: miután az általa talált – egyébként a BKK-snál jóval kevésbé súlyos – hibát mi jeleztük a fejlesztőnél, a cég vezetője nem hogy büntetésről nem beszélt, hanem jutalmat ajánlott, a hibát pedig köszönettel javították.
Feljelentés helyett jutalom
Az Országos Dokumentum-ellátási Rendszer (ODR) egy online elérhető adatbázis, amely az ország különféle könyvtárainak katalógusát teszi egy közös felületen kereshetővé, illetve lehetővé teszi a könyvtárközi kölcsönzések indítását. Maga a szolgáltatás 1998-ban indult, a jelenlegi rendszer 2011-ben készült el hozzá. Sok más szolgáltatáshoz hasonlóan a Qulto nevű platformra épül, amelyet a szegedi székhelyű Monguz Információtechnológiai Kft. fejleszt, korábban másokkal konzorciumban, ma már önállóan.
Olvasónk hobbiprojektként egy könyvtárappot készít, ehhez akarta felhasználni az ODR-t. Ekkor tűnt fel neki, hogy az adatbázis keresőjében „az url módosításával összeomlik a szerver, és percekre elérhetetlenné válik”, ez a hiba pedig szerinte könnyen kihasználható arra, hogy az oldal ellen túlterheléses támadást lehessen indítani. Részletesen leírta magát a hibát, illetve hogy az hogyan reprodukálható az oldalon. A lényege, hogy mivel a keresőben nem korlátozták az egyszerre lekérhető találatok számát, könnyű volt elérni, hogy az óriási adatmennyiség miatt elérhetetlenné váljon a szolgáltatás.
„Amennyiben írásos emailt kapok az üzemeltetőtől, amiben a mentességem biztosított, nagyon szívesen segítek elhárítani a hibát” – írta olvasónk, miután felajánlottuk neki, hogy segítünk közvetíteni a hibát a fejlesztőnek. Így is történt: megkerestük a céget, leírtuk, hogy egy olvasónk potenciális sérülékenységet talált az oldalon, de ezt nem szerette volna közvetlenül jelezni, mert attól tartott, hogy hátránya származna belőle.
Nem sokkal később meg is érkezett a cég válasza. Megköszönték a jelzést, megvizsgálták a hibát, és megerősítették, hogy az valóban fennáll. Mint azonban a válaszukból kiderült, a hiba kihasználása nem a teljes szolgáltatást tette elérhetetlenné, hanem csak az adott felhasználó adott munkamenetét. „A kiszolgáló rendszer azonban nem áll le, ezután is működik” – írta Kármán László, a Monguz Kft. társtulajdonos-ügyvezetője. Ennek ellenére a jelzést nem vették félvállról: „A problémát ideiglenesen egy, az említett olvasójuk által javasolthoz hasonló módszerrel orvosoltuk, és elkezdtük a végleges megoldás megvalósítását is.”
Az ügyvezető arról is biztosított, hogy eszük ágában sincs a sérülékenységet felfedező olvasónkat hibáztatni: „Kérem, pl. egy közös email segítségével kössön össze engem a problémát felfedező illetővel.
Tetszik a segítőkészsége, etikus hekker hozzáállása, nemcsak mentességről szeretném biztosítani, hanem valamilyen módon meg is jutalmazni.
Emellett előrehozzuk az általunk üzemeltetett rendszerek éves biztonsági felülvizsgálatát is, hogy a jövőben ne forduljanak elő hasonló esetek” – tette hozzá Kármán László.
Cikkünk megjelenése előtt a hiba végleges javítása megtörtént, a cég pedig felvette a kapcsolatot az olvasónkkal.