Már a kérdéseikben is hazudnak? Újabb tiszás kamuról rántotta le a leplet egy informatikai blogger
Íme az adatvédelmi tízes lista, avagy rémálom a magyar informatika világában
Nem sikerült a Tisza Párt rendezvényén felszólaló embernek sem igazat mondania – Bátonyterenyén, ahol Magyar Péter fórumot tartott, egy aktivista azt állította, hogy a kiszivárgott adatbázisban olyan zuglói címe szerepel, ahonnan régen kiköltözött, de a vállalkozása még ott van bejelentve, és ez csakis „a gonosz oroszok-kormányzati manók” összeollózott műve lehetett. Aztán megjelent egy zseniális blogbejegyzés, ami ismét rámutatott arra: ezeknek azt sem lehet elhinni, amit kérdeznek. Szó szerint.
A valóság ismét arcul csapja a fanatikus tiszásokat, akik egyébként nem értik, mi a baj azzal, ha az adataikat illetéktelenek szerzik meg. Vezérük szombati bátonyterenyei fórumán azonban kérdésbe ágyazott újabb hazugság hangzott el, amit mégsem hagyhatunk szó nélkül.
Szerencsére ezzel egy informatikai blogger is így lehetett, aki kicsit utánajárt annak, mi igaz a nagyívű állításból, aminek lényege végülis az volt, hogy nem csupán az általa megadott adatok szivárogtak ki, hanem olyan is, amit meg sem adott.
Ezért pedig nyilván az „oroszmanókésagonoszkormány” a felelős, de ha nem, akkor a „méggonoszabbpropaganda”. A valóság ezzel szemben az, hogy a felszólaló által említett zuglói cím, sem pedig más koordináta nincs a listában. Az MNB publikus nyilvántartásában ellentétben fellelhető, a Tisza Appban azonban nem.
De nézzünk is egy konkrét példát, ami Bátonyterenyén történt
– írja a blogger, akinek érdemes elolvasni az egész bejegyzését az incidensről. (Kattintson ide)
Adott egy tiszás aktivista, aki azt állítja, hogy olyan cím is szerepel az adatbázisban, ahonnan már régen elköltözött, de a vállalkozása továbbra is oda van bejelentve. Az ő felvetése szerint, kormányzati adatbázisokból kerülhetett bele, mert, hogy ő azt a címet nem adta meg a tiszás alkalmazásban. Tehát ha jól értem, a csúnya orosz meg kormányzati hackerek összeollózták a kormányzati (“dáp, cégadatbázis, népességnyilvántartó és minden is” hogy pontosan idézzem szavait) adatokkal, majd az így kapott adathalmaz került fel a térképre.
Majd egy újabb delikenst vesz górcső alá, akiről azt írja:
Az ő esetében szerepel az említett magyarországi cím, ami azt jelenti, hogy az eszközéről került bele az adatbázisba, nem pedig a gonosz manók csempészték oda…
Mik vannak.
Képzeljék el: 200 ezer szimpatizáns neve, emailje, telefonszáma, lakcíme, sőt, még céges székhelyek is kikerülnek a netre, interaktív térképen, Mega-linken, Have I Been Pwned-en. És mindez azért, mert valaki – belsős spicli, ukrán fejlesztő vagy orosz hacker, ki tudja? – úgy döntött, hogy a magyar adatvédelem vicc. A h4x0rd0t blog már a tízes listára tette őket, de kértek részleteket? Itt a menü, tele olcsó trükkökkel és drága hazugságokkal.
A h4x0rd0t blog legfrissebb gyöngyszeme egy vérlázítóan őszinte toplista arról, hogyan tesznek magasról az adatvédelemre. .A h4x0rd0t blog összegyűjtötte az elmúlt időszakból a legfontosabb adatszivárgási botrányokat.
A szerző nem finomkodik:
„az adataidat az esetek nagy részében TE magad adod ki illetékteleneknek”.
Igaza van. Egy kis agy, egy kis gyanakvás – és máris nem lennél áldozat.
És akkor nézzük az elmúlt évek botrányait és elsunnyogott eseteit, ahol nem a felhasználó hibájából kerültek ki adatok, a h4x0rd0t köszönhetően. Őt idézzük.
1. BKK és az E-Jegy botrány (bírság: 10.000.000 Forint)
A Budapesti Közlekedési Központ megmutatta az ilyen helyzetben elvárható incidenskezelést… ja, nem, a felhasználó a hülye….
Ez a projekt annyi sebből vérzett, hogy azt összeszámolni sem lehet. Sorra kerültek ki a problémák, sérülékenységek. A BKK persze tagadott mindent, a felhasználókra hárították a felelősséget, miszerint ők nem tudják használni a hiper-szuper új e-jegy rendszert. Aztán jött a pofára esés, mikor elküldtem a médiának az e-jegyben regisztrált felhasználók adatait. Természetesen továbbra is tagadtak mindent, tőlük ugyan nem került ki egy karakternyi személyes adat sem. A lefolytatott hatósági vizsgálat természetesen engem igazolt, és a poén az egészben, hogy egy külsős céggel saját maguk is vizsgálatot indítottak, és a mai napig fogalmuk sincs, hogy kerültek ki az adatok. Ez a hozzá nem értés legjobb iskolapéldája.
Korábban írt bejegyzése az esetről: https://h4x0rd0t.wordpress.com/2018/08/16/bkk-botrany/
Több mint egy évvel a botrány után adott volt egy általa felfedezett sérülékenység, így tett egy próbát náluk, hátha változott valamit az incidenskezelési képességük.
Ekkor jött a meglepetés, úgy néz ki, fejlődőképes a cég. A korábbi fejetlenségnek a nyomát sem látta, szinte azonnal reagáltak a bejelentésemre, majd a hibát is javították.
Korábban írt bejegyzése az esetről: https://h4x0rd0t.wordpress.com/2018/08/31/bkk-reloaded/
NAIH határozat: https://www.naih.hu/files/NAIH-2018-356-H_hatarozat.pdf
2. Demokratikus Koalíció (bírság: 11.000.000 Forint)
Gyurcsány is megmondta anno az öszödi beszédében: “…elkúrtuk. Nem kicsit, nagyon.” Hát ez itt sem volt másként. Publikáltam egy 11000+ rekordos adatbázist, aminek a vége adatvédelmi hatósági vizsgálat lett. A DK természetesen hárított, ők nem is tudtak erről, majd azt találták ki, hogy ez csak egy tesztadatbázis volt. Péterfalviékat meg tudták ezzel vezetni, de a valóság nem ez volt. Magyarázkodtak, próbálták csökkenteni a felelősségüket az ügyben. Az igazság viszont az, hogy a rendszerben, ahonnan az adatokat kinyertem, nem tesztrendszer volt, és sajnos nem is a teljes adatbázist sikerült leszívnom, csak egy részét. Voltak ott 2013 utáni adatok is… De a lényegen ez nem változtat, a hozzáállásuk, a hazudozásuk egyértelművé teszi, hogy akik ezzel szembesültek, azok nem, hogy nem értettek a dolgukhoz, de a józan ész sem állt rendelkezésükre az incidens kezelését illetően.
Korábban írt bejegyzése az esetről: https://h4x0rd0t.wordpress.com/2018/08/22/dkpwn-elkurtuk-nem-kicsit-nagyon/
NAIH határozat: https://naih.hu/files/NAIH-2019-2668-hatarozat.pdf
3. Lánglovagok
Náluk sajnálatos módon nem volt se vizsgálat, se hatósági eljárás. Pedig ők cégként működnek a mai napig is, ergo kötelesek lettek volna az incidenst bejelenteni. Ez egyébként a mai napig elérhető a felhasználóikkal együtt a neten. Lásd OKF Incidens: https://h4x0rd0t.wordpress.com/2018/08/16/okf-incidens-avagy-az-1-szemelyes-kibertamadas/
4. beszeljukmac.com
Ez a történet is hozta sajnos a papírformát, inkompetens vezetés, hozzá nem értés, sok-sok felhasználóval párosítva. Az oldal szerencsére azóta már megszűnt, de az adatok továbbra is elérhetőek a neten. Hatósági eljárás ebben az esetben sem volt, pedig nekik is jelenteni kellett volna az incidenst. De hát aki nem ért hozzá, az menjen el inkább mosogatni…
Korábban írt bejegyzése az esetről: https://h4x0rd0t.wordpress.com/2018/08/17/beszeljukmacg-vagy-ne-beszeljukmacg-ez-itt-a-kerdes/
5. Erzsébetváros Önkormányzat
Ez némiképp kilóg a sorból, hiszen itt felhasználói adatok ugyan nem kerültek ki, csak az oldalt működtető dolgozóké. Hozzáállás nulla, arra sem vették a fáradságot, hogy a tárolt jelszavakat védjék. Sokadik jelszócserét követően végül úgy döntöttek, hogy lekapcsolják az oldalt, és egy újat készíttetnek természetesen ugyanazzal a személlyel, aki a korábbit is “lefejlesztette”. A leállás természetesen nem adatvédelmi incidens miatt történt, mert náluk ilyen nem fordulhat elő, műszaki okokra hivatkoztak. A jelszókezelés természetesen itt sem változott, mert emberünk a saját hibájából sem tanul…
Az önkormányzatnak van egy hálózati adattárolója, amit a kedves informatikus kolléga szívbaj nélkül ki is engedett a netre, ami a mai napig elérhető…
Elég csak a Synology oldalát átböngészni, ahol részletesen listázzák a sérülékenységeiket és biztosra veszem, hogy az informatikus nem áll ott a NAS mellett vigyázban, hogy a kiadott biztonsági frissítéseket telepítse azonnal – írja a blogger.
Synology: https://www.synology.com/en-global/security/advisory
Erzsébetváros NAS: https://195.70.44.109:5001/
Legalább egy érvényes SSL Certet dobjatok már rá.
Korábban írt bejegyzése az esetről: https://h4x0rd0t.wordpress.com/2019/11/22/erzsebetvaros-es-az-elkeszult-uberbiztonsagos-uj-weboldala/
6. Digi (bírság: 80.000.000 Forint)
Jó látni, hogy vannak olyan cégek, akik igen is igyekeznek odafigyelni a felhasználóik adataira. Így történt a Diginél is, de egy mulasztás miatt az illetéktelen hozzáférést nekik sem sikerült elkerülni.
Egy kolléga jelentkezett náluk, miszerint az oldalukon található sérülékenységet kihasználva hozzáfért két adatbázishoz is. Haladéktalanul intézkedtek a hiba feltárása és kijavítása érdekében, valamint az incidenst be is jelentették a hatóságnál. Sajnálatos módon a teszt adatbázis törlésének elmulasztása vezetett végül ahhoz, hogy hozzáfértek több mint 300.000 ügyfél és hírleveles feliratkozó adataihoz. A szándék megvolt, de emberi mulasztás történt. Az emberi tényező…
– írja. A NAIH határozat: https://www.naih.hu/hatarozatok-vegzesek?download=738:digi-tavkozlesi-es-szolgaltato-kft-nel-bekovetkezett-adatvedelmi-incidensben-erintett-adatbazisok-adatbiztonsagi-es-alapelvi-hianyossagai-megismetelt-eljaras
7. Magyar Kétfarkú Kutya Párt (bírság: 3.000.000 Forint)
A szándék náluk is megvolt, de akadt egy, véleménye szerint belsős jótevőjük, aki volt oly kedves ország-világgal megosztani a párt belső dokumentumait, melyben kb. 2000 ember személyes adata szerepelt.
A vizsgálatokból végül nem derült ki, ki lehetett az a személy, hivatalosan az sem, hogy belsős, vagy külső támadó szivárogtatott. Öröm az ürömben, hogy a párt maga jelentette be az incidenst.
NAIH határozat: https://www.naih.hu/hatarozatok-vegzesek?download=535:politikai-partot-erinto-adatvedelmi-incidens&start=50
8, Márki-Zay Péter és a Mindenki Magyarországa Mozgalom (bírság: 3.000.000 Forint)
Ez az eset is jól mutatja, hogy résen kell lenni a közösségi médiában is. Elég egy kósza komment és a botok már támadnak is privát üzenetben, holott te ehhez nem is járultál hozzá. Teszik mindezt úgy, hogy a kifejezett kérésed ellenére is érkezik a következő üzenet az újbóli feliratkozás kérésével. Márki-Zay csak figyelmeztetést kapott, az adatvédelmi bírságot a Mindenki Magyarországa Mozgalom kapta a megállapított adatvédelmi jogsértések miatt.
NAIH határozat: https://www.naih.hu/hatarozatok-vegzesek?download=853:szemelyes-adatok-kezelese-facebook-messenger-kampany-soran
9. eKRÉTA (bírság: 110.000.000 Forint)
Minden egy adathalász támadással indult, és elég volt hozzá egy dolgozó, aki rákattintott a linkre, gondolván, mi baj lehet…
Ép ésszel felfogni sem tudom, hogy egy informatikai cég projektvezetője miért kattint egy random linkre, amit üzenetben kapott. Lényegtelen, hogy hol, milyen módon kapta. Mindezt természetesen a céges gépén, tele adatokkal, hozzáférést biztosító azonosítókkal és jelszavakkal. Nem lehetett túl acélos a cég belső védelme sem, hiszen sem az alkalmazott tűzfalszabályok, sem a vírusvédelmi megoldások nem gátolták meg a linkről letöltődő kémprogramot, valamint az utána aktiválódó távoli hozzáférést, ezzel egyenes utat biztosítva a cég belső hálózatához, valamint az éles eKRÉTA rendszerhez, ahol a magyarországon tanulók, gondviselőik és az őket tanítót személyes adatai találhatók. Tényleg nem értem, mi volt a terv? Egy ekkora cégnél vezető beosztásban ilyen dilettánsokat alkalmaznak? Arról nem is beszélve, hogy utána el akarták sumákolni az egészet.
És persze megint hol tartunk, az emberi tényező, megint… A hülyeség határtalan, és ezt a vezető beosztásban dolgozók erősítik a legjobban, tisztelet a kivételnek. Akad, de a hülyékhez képest nagyon kevés – teszi hozzá a szerző.
10. Tisza Párt (bírság: több tízmillió várhatóan)
Az elmúlt napokban felkapott lett, mert a tiszától elloptak egy adatbázist, ami tartalmaz 200.000 szimpatizáns személyes adatát. Minderről úgy fogalmaz:
De ez a hiszti, amit Magyar Péter leművel, hát nem tudom, sírjak, vagy röhögjek. Gyurcsány legalább elismerte, hogy “elkúrtuk…”. De ez a ripacs… mindenki hibás, csak a saját maguk nem. Petikém, nem nektek kellett volna vigyázni a hozzátok regisztráló felhasználók adataira? Nem nektek kellett volna garantálni az általatok fejlesztett alkalmazás biztonságát? Nem másra kellene mutogatni, hanem elismerni, hogy elkúrtad… Nagy pacsi a fejlesztőnek, aki térképre tette az adatokat.
A h4x0rd0t listája egészen zseniális tükröt tart. Érdemes átböngészni. Nemcsak a fejlesztőknek, de nekünk, felhasználóknak is.
A szerző egyébként azt javasolja, mindenki jelentse a Tisza Appot a Google/Apple Store-ban. Van miért.
