Egy vállalkozás, amelynek vezetése a hosszú távon életben maradást alapcélul tűzte ki, két elvet kell követnie: folyamatosan fejleszteni a vásárlóinak kínált termékek / szolgáltatások minőségén, és ha a termékek gyártása / szolgáltatások nyújtása során valamilyen működési hibák merülnek fel, amelyek az üzemszerű használatot nem értintik, de rosszindulatú emberek "hibákat" találnak, belemagyarázzák (a "hibát" - ami a termék működését nem is befolyásolja nem kívánt irányba...), akkor abból a hibából is érdemes néha építkezni, mert újabb fejlődési utat is kijelölhet, de legalábbis a termék gyártójának támadhatósága nem fog fennálni - így tehát sem minőségi, sem "pletyka" jellegű kifogása nem lehet a vásárlóknak, kiváltképp különösen hasznos termék esetén.

--
Az informatika mára sajnos olyan szakmává alakult át, amihez "mindenki" érteni vél. A legrosszabb, hogy egyesek "szakértőnek" kinevezve magukat, ítélnek meg olyan szoftvereket, amilyent saját maguk még ugyan nem csináltak, de véleményt alkotni "kiválóan értenek".

Tisztánlátás céljából: cégünk nem webshop-gyártó és -üzemeltető, így magánszemélyek adatait (lakcímét, nevét, bármit) sem tároljuk, nem archiválunk, és végül nem vagyunk pénzintézet sem (a márkanevünk sem MyBank (angolul: az "én bankom"), hanem YourBank (az Ön bankja) - mert mi a webáruház tulajdonosok (etekintetben: "Önök") bankját kötjük össze a webáruházukkal).

A valós helyzet helytelen felismerésével, azért egyes programozók - az alábbi cikkből majd látható, hogy nem egyértelműen jóindulatú formában - nyilvános fórumokon, szeretik "megszakérteni" a mi programozóink munkáját: hogy hogyan kell egy webshopnak megrendelési adatokat kezelni, vagy egy banki felületnek tranzakció-adatokat értelmezni. Átlagos vásárló és átlagos webáruház-tulajdonos, akinek a banktechnikához nem kötelező mélységekben értenie, ezeket a fórumokat olvasva hamis információkkal szennyezett ismereteket tud meg, esetleg azok alapján üzleti döntést hoz.

2 évvel ezelőtt egy programozói fórumon megjelent, hogy egy megrendeléseket feldolgozó weboldal vásárlójának - a vásárlás végén, fizetéskor - befagyott a böngészője. A helyzetet viszont nem úgy oldotta meg, hogy a böngészőt becsukja / újraindítja, hanem elkezdett hackerkedni ("magyar virtus" :-)).
Mit értünk ezalatt, hogy hackerkedni?

2012:C Btk. Tiltott adatszerzés c. fejezete: 422.§ (1) d) Aki gazdasági titok jogosulatlan megismerése céljából elektronikus hírközlő hálózatban (információs rendszerben) tárolt adatot kifürkész, az észlelteket technikai úton rögzíti, bűntett miatt 3 évig terjedő szabadságvesztéssel büntetendő
(3) Aki nyilvánosságra hozza a tárolt adatokat, úgy a nyilvánosságra hozás külön bűncselekmény, szintúgy 3 évig terjedő szabadságvesztéssel büntetendő.
(4) A sértett részére jelentős érdeksérelmet okozva 5 évitg terjedő szabadságvesztéssel büntetendő.

Ez a vásárló egy programozó volt, aki a megrendelésekhez fizetési tranzakciók indítását (tranzakció sorszáma és összege) tároló listát kezelő programkód webcíméhez hozzájutott úgy, hogy a fizetési szoftvert úgy paraméterezte egy programmal, ahogy azt egy webshop sosem tudná, vagyis jogi értelmezésben úgynevezett "nem üzemszerű működtetéssel" arra kényszerítette a szervert, hogy ezt a listázó programot futtassa. A programozónak erre - elmondása szerint - valós szüksége nem volt, cselekményét megmagyarázhatatlan okból (...) tette. Szervereinken mi többféle bank szoftverét futtatjuk, közülül ennek az egy banki szoftvereknek a felépítése egyébként nyilvános (a többi nem így működik), és ha ettől a banktól valaki elkéri a dokumentációt, odaadják neki - ettől azonban még nem formálhat jogot magának - gazdasági társaságok éles tranzakcióit kezelő webcímének feltöréséhez.

Érintett programozó ezen cselekményét szégyen nélkül, nagy hírveréssel megosztotta kedvenc programozói fórumán és kipublikálta a fórumba az ott éppen elérhető, indított tranzakciókat. Láncreakcióként pár programozó a saját blogjában és twitteren szintúgy elkövette ezeket a bűncselekményeket, bolhából elefántot csinálva az [origo] hírportálnak is erős fűszerezésben adták elő, hogy ők milyen okos és ügyes programozók, míg mások "php pistikék" (humorosan reagálva erre: nálunk sosem dolgozott "Pistike"). A fórumokon aztán több olvasó is jelezte a szerzőknek, hogy ez a viselkedés erősen sérti az etikus emberi magatartást, és a törvényt is, ha ezt biztonsági résnek vélik, akkor azt a programot üzemeltető szolgáltatónál zárt levélben kellene jelezni - ugyanis átlagos vásárló soha nem juthat hozzá ilyen adatokhoz, csak bűncselekmény (hackerkedés) útján.

A helyes cél az lenne, hogy ez a lista hackerek számára is elérhetetlen legyen, esetünkben ez a lista akkor még nem volt jelszóval védve (mert az egy új program volt és az egyedi jelszó egyeztetés alatt állt Ügyfelünkkel). Minden megrendelési felület tulajdonosához saját adatbázis tartozik, saját szoftver és saját lista, és ez a lista csak egyfajta cég egyfajta bankra vonatkozó tranzakcióinak indítását tartalmazta, sem vásárlók nevét, lakícmét, sem kártyaszámat, hiszen ez a szoftver (ami a könyvelést segítő, ellenőrző listát csak mellékesen, naplónak gyártja) arra hivatott, hogy a webáruházat felparaméterezve a banki felületre eljuttassa a vásárlót. A webshop kezeli a megrendelők személyes adatait, a webshopot nem bántották, a bank kezeli a vásárló kártyaszámát, a banki oldalt sem bántották, csak egy olyan listát értek el, ami az XY számú N összegű megrendelés T időpontban indítását naplózza. Egyes ügyfelek az indítás után szeretnék, hogy vásárlóik a tranzakcióról nem csak a böngésző felületén, hanem a webshopban kezelt email címeiken is kapjanak banki bizonylatot, ezért a szoftver a tranzakció végén (max 20 percen belül) küld nekik bizonylatot, és a most hatályban lévő adatvédelmi szabályozás 4.§(1) alapján ezen vállalt kötelezettség teljesítése után (2) pont szerint ez az adat megsemmisítésre kerül, mert így jogszerű.

2011. évi CXII.tv. 3.§.1. E törvény alkalmazása során "személyes adat": az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;
10. adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása (...)
4. § (1) Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
(2) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
(3) A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható.

A listában elérhető adatok, mint megrendelés száma és összege nem személyes adatok, kártyaadatokat nem kezelünk (nem vagyunk bank), az nem lehetett a listában, és a megrendelés szám mellé rövid ideig email cím tartozott - ebben a rendszerben, max 20 percig. Fenti vásárló (programozó) viszont kifürkészte és publikálta az email címeket, mint látható: jogsértő másnak a tudomására hozni még ilyen rövid ideig élő adatot is. A fórum olvasóinak a szerzőt intő jelzésére a vásárló (programozó) megkeresett bennünket telefonon és utólag elmondta, hogy ezeket az átmenetileg elérhető adatokat ő megtalálta, belinkelte a fórum bejegyzést is. Az [origo] hírportál szerkesztője is megtekintette a szóban forgó URL-t, cikket írt róla, és utólag telefonált nekünk, szeretnénk-e nyilatkozni, valamit esetleg helyesbíteni? Nekik már ugyanis nyilatkozott egy magát "biztonsági szakértőnek" címző, de magát megnevezni nem kívánó személy - mi viszont üzletileg korrekt módon, valódi néven nyilatkoztunk.
Az érintett listát (naplót) készítő szoftvert azonnal leállítottuk (később, jelszóval újra üzembe helyeztük, mert szükség van rá), és elkeztünk utánajárni, hány helyen mit írtak rólunk. A hibát elhárítottuk, egy (valódi) biztonsági tanácsadó javaslatára az egyébként nyilvánosan megismerhető szerkezetű, banktól kapott szoftvert megváltoztattuk. A szoftver működését vagy felépítését vizsgáló (tehát jogsértően működő, hacker) programok futtatását ellehetetlenítettük a szerver átkonfigurálásával. A biztonsági rést a telepítésért felelős rendszergazda hagyta benne, aki már nem dolgozik velünk, a szerverházzal is felmondtuk a szolgáltatást, mert a biztonsági tanácsadó kiderítette, hogy olyan verziójú szerver szoftvert adtak, ami nem túlságosan gátolja az ilyen típusú hackereket. Lecseréltünk szoftvert, rendszergazdát, szervereket, így 1 MFt-tal nagyobb teher nehezkedik ránk az új szerver-konfiguráció kapcsán. Egyetlen jelenség miatt, ami vásárlás során nem jön elő, csak hackerkedés kapcsán, a vásárlóknak káruk nem származott, és a megrendelés kezelő rendszer tulajdonosának, ügyfelünknek szintúgy nem volt panasza. A programozó által panaszolt jelenség előfordulását az átalakításokkal: megelőztük.

Fent említett fórumokban a szerzők és pajtásaik azért tovább gombolyították a fonalakat és már odáig jutottak, hogy bennünket öszekevertek egy bankkal, amelyiknek úgy működik a szoftvere, hogy ha értelmetlen adatot kap, akkor arra nem csinál semmi értelmeset (hibaüzenetet sem ad!), és szerintük mi az a cég vagyunk, akik olyan tanácsadot szoktunk adni, miszerint "kamu adatokkal ne csodálkozz hogy behal". Nos, nem mi vagyunk a banki szoftver gyártója, de ezért is bennünket hibáztatnak, másfelől pedig "kamu adatot" a szoftverünk üzemszerű működés (nem hackelés, hanem vásárlás) közben nem állít elő, vagyis a paraméterezett banki rendszereink jól működnek. Bár, a fórumozók szerint ha kamu adatra lefagy (a rendszer amit nem mi gyártottunk), akkor is mi vagyunk akik visszaélünk az ügyfeleink jóhiszeműségével - innentől ez már csak rosszindulatú vélemények halmozása, kollégáinkról.

Sajnos, többszöri kérésre majd többszöri felszólításra sem kívánják azonban ezek a "véleményformáló" blog vezetők és pajtásaik a blogjaikról leszedni az állításaikat, melyek több éve ott vannak, és egymásnak mondanak Google cache-be mentett köszönömöket, azon örülve, hogy ezen becsmérlő cikkeiket "milyen jó", hogy egymás webtárhelyein tárolják és a mai napig reklámozzák. Hasonlóan illetlen viselkedés lenne, ha valaki előszedné az ő általános iskolai ellenőrző füzetüket és nyilvánosságra hozná, hogy bezzeg földrajzból, ének-zenéből és hittanból nem túlságosan jeleskedtek (bizonyára kényelmetlenül éreznék magukat - erre viszont pszichikailag ép embernek nincs belső igénye, így nekünk sincs).
A jelenben megítélni valakit, és ítélkező blogbejegyzéseket üzemeltetni mai napig acélból, hogy tömegek értékítéletét meghajlítsák, csak mert egy általunk ismert személy korábban valamikor valamit "hibázott", vagy nem úgy viselkedik, ahogy "szerintem" jelleggel, viselkednie vagy dolgoznia kellett volna, és az eset kapcsán a vásárlóknak egyébként anyagi káruk nem is esett — nekünk nem csak nem esik nehezünkre, hogy másokról tömegesen hisztériát keltsünk, így más vállalatok valódi értékét károsítsuk, de ez eszünkbe sem jut, ez ugyanis más jó hírnevének, becsületének sértése. Mivel ezeken a fórumokon érdemtelen lenne választ adnunk (a blogok és fórumok vezetői nekünk írt magánleveleikben dühtől szikrázó stílusban beszélnek programozókról, bankokról, devizahitelről, egyszóval összemosnak bennünket valamilyen magáncélú utálatuk tárgyával - dühöngő, folyamatosan sértődött, támadóan viselkedő emberekkel pedig érdemben tárgyalni nem lehet), így tőlük független formában készítettünk egy cikket, hogy az eset iránt érdeklődők mindkét oldal szemléletével megismerkedhessenek.

Sajtóközlemény kelte: Budapest 2014 március 30.