Nem mert a szegedi céghez fordulni, ezért a sajtónak jelezte az informatikai hibát, végül megjutalmazták az illetőt

A Telex arról számolt be, hogy egy olvasójuk arról írt nekik levelet, hogy informatikai hibát vélt felfedezni az Országos Dokumentum-ellátási Rendszerben, mely kihasználásával szerinte túlterheléses támadás indítható a honlap ellen. Hozzáfűzte, hogy szívesen jelezné ő is a hibát a fejlesztőnek, de nem akar úgy járni, mint a BKV-s botrányt kirobbantó személy.

Ezzel vélhetően arra az ügyre utalt, amikor egy 18 éves fiatal 2017-ben jelezte a BKK-nak, hogy hibát vélt felfedezni a frissen bevezetett online jegyértékesítési rendszerükben. A rendszert fejlesztő T-Systems feljelentette, majd házkutatást tartottak nála. A bíróság csak egy hónap múlva ítélt úgy, hogy vélhetően tényleg segítőszándék húzódott a dolog mögött és nem bűncselekményt követett el a fiatal.

Az Országos Dokumentum-ellátási Rendszer (ODR) egy online adatbázis, mely egy közös felületre egyesíti az országban található könyvtárak katalógusát, így teszi lehetővé a könyvtárközi kölcsönzések indítását. A szolgáltatás 1998-ban indult, a jelenlegi rendszer pedig 2011 óta működik. Sok más szolgáltatással együtt a Qulto biztosít számára platformot, melyet a szegedi székhelyű Monguz Információtechnológiai Kft. üzemeltet.

A levél küldője egy könyvárappot készít szabadidejében és ehhez akarta felhasználni az ODR-t. Ekkor feltűnt neki, hogy az adatbázis keresőjében az url módosítása a szerver összeomlását eredményezi, mely percekre elérhetetlenné is válik ezt követően. Úgy véli, hogy a hiba könnyedén felhasználható arra, hogy az oldal ellen túlterheléses támadást lehessen indítani. Emellett jelezte a Telex szerkesztőségének, hogy amennyiben írásos üzenetet kap, melyben mentességét elismerik, szívesen segít elhárítani a hibát. Így a lap megkereste az ODR-t üzemeltető szegedi székhelyű Monguz Kft-t.

Kármán László a Monguz Kft. társtulajdonos-ügyvezetője válaszában megköszönte a jelzést és megerősítették a hiba létezését. Levelükből kiderül az is, hogy a hiba nem tette elérhetetlenné az egész szolgáltatást, csak az adott felhasználó munkamenetében okozott galibát. Emellett írták azt is, hogy a problémát ideiglenesen a felfedezője által javasolt módszerrel javították és elkezdik keresni rá a végleges megoldást is.

Az ügyvezető azt is leszögezte válaszlevelében, hogy eszük ágában sincs a problémát felfedező személyt hibáztatni, épp ellenkezőleg: „Kérem, pl. egy közös email segítségével kössön össze engem a problémát felfedező illetővel. Tetszik a segítőkészsége, etikus hekker hozzáállása, nemcsak mentességről szeretném biztosítani, hanem valamilyen módon meg is jutalmazni. Emellett előrehozzuk az általunk üzemeltetett rendszerek éves biztonsági felülvizsgálatát is, hogy a jövőben ne forduljanak elő hasonló esetek”