Szivárgás

Már csaknem két hete a Tiszavilág applikációra regisztráltak adatainak ellopásától hangos a magyar sajtó. Igazából csak a saját gondolataimat tudom hozzátenni a már alaposan kivesézett eseményhez. Én úgy gondolom, hogy az eseményeknek négy szintjük van.

1. Maga az applikáció és az abból felépített adatbázis megfelel-e az adatbiztonsági követelményeknek?
2. Ki lopta el az adatokat, és miért hozta nyilvánosságra azokat?
3. Miképpen történt az adatlopás?
4. Miért gondolta a kormányközeli média, hogy a lopott adatok további terjesztése jó ötlet?

Az applikáció és az adatbázis feltörhetetlensége

Nyilvánvalóan vizsgálni fogják az alábbiakat:

• Az adataikat megadók tájékoztatva voltak-e az adatkezelési szabályokról?
• Az adatkezelő valóban csak arra a célra használta az adatokat, amit az adatkezelési tájékoztatóban megadott?
• Az applikáció és a mögötte lévő adatbázis megfelel-e a mai korszerű adatbiztonsági elveknek?
• Volt-e a rendszernek egy próba-adatbázissal kiberbiztonsági tesztje?
• Az adatbázis üzemeltetőinek munkafolyamatai rögzítve vannak-e különféle folyamatleírásokban? Ennek betartását ellenőrizték-e?
• Hagyott-e a rendszer fejlesztője "hátsó kaput", ahol az adatokhoz hozzáférhet?
• Naplózta-e a rendszer a támadási kísérleteket és magát a sikeres támadást?

Ki lopta el az adatokat, miért hozta nyilvánosságra azokat?

Ilyen nagyméretű adatlopásnak több célja lehet. A legkézenfekvőbb az adatok eladása reklámozó cégeknek. Ilyenkor nem ésszerű az adatok nyilvánosságra hozása, hiszen ezzel egyből kiderül az adatlopás ténye. A nyilvánosságra hozásból logikusan következik, hogy az adatlopás célja a károkozás, a Tiszavilág applikációba, sőt magában a Tisza pártba vetett bizalom megrendítése. Na de kinek lehetett ez érdeke?

• Az ukránoknak aligha, hiszen ők alig várják, hogy végre valaki leváltsa az Orbán-kormányt, amely akadályozza Ukrajna uniós csatlakozását.
• Ugyanez vonatkozik az Európai Unióra is, bár róluk az sem feltételezhető, hogy hackercsapatot működtetnének.
• A magyar titkosszolgálatnak nagyon is lehet érdeke, hiszen Magyar Péterék lassan elhúztak a Fidesz mellett, így az "adóemelés", "nyugdíjcsökkentés", "háborúpártiság" narratíva mellé jól jön az, hogy "ezek még az adataitokat sem képesek megvédeni".
• Orosz titkosszolgálat: talán ez a legvalószínűbb, hiszen az orosz hackerek és az orosz kiberhadviselés legendásan jó, és alapvető érdekük, hogy sokáig maradjon hatalmon az Orbán-kormány.

Hogyan történt az adatlopás?

Az alábbi lehetőségek vannak:

• Beépített emberek a fejlesztő csapatban, akik szándékosan hagytak egy "hátsó bejáratot", melynek kulcsát csak ők ismerik.
• Beépített ember az adatbázis üzemeltetői között, aki adott pillanatban kimásolja az adatbázist, vagy annak egy részét. Ezt egy korszerű rendszernél elég nehezen lehet megtenni észrevétlenül.
• Valóban előrébb járnak az adatbázis-feltörésben, mint az adatbázis-fejlesztők a kibervédelemben. Ez nagyon is elképzelhető.

Miért gondolta azt a kormányközeli média, hogy jó ötlet a csak rövid időre közzétett adatbázist tovább terjeszteni?

Ez a legnagyobb rejtély, hiszen köztudott, hogy azért, mert egy lakás nincs bezárva és szabadon be tudok sétálni, az ott levő javak eltulajdonítása ugyanolyan lopás, mintha feltörtem volna a zárat. A Mandiner közéleti embereket kezdett listázni, akinek adatait megtalálta a kiszivárgott adatok között, mások pedig interaktív térképen jelenítették meg az adatokat.

Íme a Vadhajtások által közzé tett interaktív térkép nyitó oldala, amit a tiszavilag.co oldalán jelenítettek meg. A térképen jól látszik, hogy kb. 158 ezer adatot tettek térképen elérhető módon közzé. Ez alapján egyes jobboldali médiahuszárok, mint pl. Németh Balázs korábbi közszolgálati híradós, aki jelenleg a "Józan észre" átkeresztelt "Harcosok óráját" vezeti, elmentek egyes címekre és az ott lakókat kezdték vegzálni.

Úgy tűnik, hogy egyenként indultak perek a személyes adatokkal való visszaélések ellen, de szerintem a választásokig semmi sem fog történni.

Én viszont feltöltöttem a YouTube-ra egy kis szösszenetet arról, hogy egy elképzelt állampolgár hogyan szembesül azzal, hogy szeretteit sorra megtalálja a Tiszavilág-térképen, aztán bevallja, hogy tulajdonképpen ő maga is regisztrált. Hallgassátok megértéssel.