Tisza Világ alkalmazás: mi állhat az adatszivárgás hátterében?

Szakértői nézőpontból, valamint az előzetes kockázatelemzés eredményei alapján több következtetés is levonható az adatszivárgásról. Ezek segítségével valószínűsíthető forgatókönyvek állíthatók fel arra vonatkozóan, hogyan történhetett az incidens, és milyen következményekkel járhat az érintett felhasználók számára.

Lehetséges okok

A szivárgás pontos oka és körülményei egyelőre nem ismertek, ugyanakkor a kiszivárgott tartalom szakmai elemzése révén számos következtetés levonható. A rendelkezésre álló információk alapján több, iparági szempontból tipikus forgatókönyv is felvethető a történtek magyarázatára:

Elégtelen adatvédelem a háttérrendszerben:
Előfordulhat, hogy a felhasználói adatokat tároló adatbázis vagy az ahhoz kapcsolódó backend-szolgáltatás nem rendelkezett megfelelő biztonsági védelemmel. A nyilvánosan elérhető, gyenge jelszóval vagy akár jelszó nélkül hozzáférhető végpontok, illetve a jogosultság-ellenőrzés nélküli adminisztrációs felületek komoly kockázatot jelentenek. Ezeket egy tapasztalt támadó könnyedén kihasználhatja, és hozzáférhet az érzékeny adatokhoz. Ilyen esetben a szoftverfejlesztők és az üzemeltetők felelőssége is felmerül.

Tárhelyszolgáltatói mulasztás:
Az adatbázist üzemeltető szolgáltató is felelős lehet, amennyiben elavult, ismert sebezhetőségeket tartalmazó szoftververziókat futtatott, vagy nem alkalmazott megfelelő védelmet a túlterheléses támadások (Distributed Denial of Service, DDoS) és más sérülékenységek ellen.

Jogosulatlan belső hozzáférés:
Elképzelhető, hogy egy olyan személy – például egy fejlesztő – is hozzáfért az éles felhasználói adatokhoz, akinek sem jogosultsága, sem szakmai indoka nem volt erre. Az adatok kiszivárogtatása ilyen esetben történhetett szándékosan, anyagi haszonszerzés céljából, vagy akár zsarolás, fenyegetés hatására is. A fejlesztőknek kizárólag izolált, tesztadatokat tartalmazó környezetekben lenne szabad dolgozniuk, ám a gyakorlatban nem ritka, hogy hibakeresés vagy tesztelés céljából éles adatbázis-másolatokat használnak, amelyek így valós, érzékeny információkat tartalmaznak.

Szándékos vagy gondatlan adatátadás:
Nem kizárható annak lehetősége sem, hogy az adatokhoz jogosan hozzáférő személy adta tovább azokat – akár figyelmetlenségből, akár az előbb említett indítékok valamelyike miatt.

Felelősség és átláthatóság

Az érzékeny személyes adatokkal dolgozó szoftverek esetén különösen fontos a megfelelő jogi környezet kialakítása: mindenkivel, aki bármilyen módon érintett a szoftver fejlesztésében, tesztelésében, üzemeltetésében, alá kell íratni egy megfelelő tartalmú szerződést, amely kimondja a személy felelősségét az adatok biztonságának neki felróható okból történő sérülése esetén, megfelelően megválasztott jogi retorziós eszközök kilátásba helyezésével. Ennek további feltétele az, hogy a rendszer minden komponense teljesen auditálható legyen, azaz pontosan vissza lehessen követni, hogy mikor, ki, milyen adatot kérdezett le. Ezeket a naplókat továbbá úgy kell kialakítani, hogy azokat az auditált egyének ne tudják kikapcsolni, manipulálni, törölni. Ha ez adott, akkor könnyen visszakövethető a szivárgás forrása, és felelősségre vonható az illető az általa aláírt szerződés megszegése miatt. Ha ilyen rendszerek nem lettek kialakítva, vagy nem megfelelően működtek, az súlyos szakmai hibának tekinthető kockázatmenedzsment és üzemeltetés szempontjából.

Kockázati kategóriák szakértői szemmel

A kiszivárgott információk súlyossága eltérő, ezért azokat az érzékenységük és a lehetséges visszaélések alapján érdemes kategorizálni:

Nagyon magas érzékenység: ezek az adatok közvetlen veszélyt jelenthetnek az érintettek személyes biztonságára – például zaklatás, fizikai támadás vagy betörés formájában –, és akár anyagi kárt is okozhatnak, mivel több bank ezeket használja ügyfélazonosításra. Ide tartoznak például a hitelesítési adatok (anyja neve, születési hely) és a lakcímadatok (cím, koordináták).

Magas érzékenység: ezek az adatok alapot adhatnak személyre szabott csalásokhoz, adathalászathoz vagy személyazonosság-lopáshoz. Ide sorolhatók a személyazonosító információk (teljes név, e-mail cím, telefonszám), a profilképek és egyéb médiatartalmak, valamint a belső azonosítók.

Közepes érzékenység: ezek az információk önmagukban kevésbé veszélyesek, de más adatokkal kombinálva segíthetik a támadókat abban, hogy pontosabban célozzák meg az áldozataikat, és növeljék csalásaik sikerességét. Ide tartoznak például az alkalmazásbeállítások (nyelv, e-mail értesítések), illetve a metaadatok (például a regisztráció ideje).

Milyen uniós adatvédelmi jogszabályok sérülhettek?

Az európai uniós általános adatvédelmi rendelet (General Data Protection Regulation, GDPR) előírja, hogy az adatkezelőnek 72 órán belül értesítenie kell a felügyeleti hatóságot azokról az adatvédelmi incidensekről, amik az érintettek számára valószínűleg kockázatot jelenthetnek. Ezenfelül az érintettek tájékoztatása is kötelező, ha a kockázat legalább a magas szintű kategóriába tartozik – a friss tiszás szivárgás adatai annak minősülnek.

A GDPR alapján a bírság felső határa 20 millió euró vagy a globális árbevétel 4 százaléka. Továbbá amennyiben az adatbázis egy politikai párt rendszeréhez tartozik, úgy a benne szereplő párttagok, támogatók, önkéntesek, szimpatizánsok esetén az adatbázis úgynevezett különleges személyes adatokat tartalmaz. Ilyennek minősül például az etnikai hovatartozás, vallási vagy világnézeti meggyőződés, de a politikai vélemény is.

Az általános adatvédelmi rendelet kimondja, hogy a különleges személyes adatok kezelése tilos.

Politikai véleményre utaló információt a párt adatbázisa – akár közvetve is – tartalmazhat, így az applikáció adatkezelése a legszigorúbban védett kategóriába tartozik.

Az érintettek a rendelet szerint kártérítési igényt nyújthatnak be, ha adataik nem megfelelő kezelése következtében kár éri őket.

Hazai adatvédelmi joghelyzet

Az adatvédelmi kérdésekben eljáró illetékes hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). A személyes adatok védelmére vonatkozó adatkezelői kötelezettségeket az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban. Infotv.) rögzíti. A törvény az incidensek bejelentésére szintén 72 órás határidőt ad meg, továbbá az adatkezelőnek belső nyilvántartást is kell vezetnie a tényekről, hatásokról és megtett intézkedésekről.

A politikai vagy párthoz való tartozásra utaló információkat az Infotv. is különleges adatnak minősíti, amelynek kezelésére csak akkor kerülhet sor, ha az érintett kifejezett hozzájárulását adta, és az adatkezelés szigorúan a szervezet működéséhez szükséges. Az ilyen adat kiszivárgása tehát – függetlenül attól, hogy külső támadás vagy belső hiba okozta – automatikusan jogsértő adatkezelésnek minősül, és a NAIH kiemelt súlyosságú adatvédelmi incidensként kezeli.

A büntető törvénykönyv (Btk.) személyes adattal való visszaélésre vonatkozó része alapján az adatkezelő vagy rendszergazda büntetőjogi felelősséggel – akár szabadságvesztéssel – is tartozhat, amennyiben gondatlanul vagy szándékosan okozza az adatokhoz való jogosulatlan hozzáférést.

Persze ne feledkezzünk meg arról sem, hogy a jogi következményeken felül az adatszivárgás bizalomvesztéssel jár, és rontja a párt hírnevét, megítélését.

A tiszás informatikusok zárt chatüzenetei

A Magyar Nemzet birtokába került a Tisza Világ applikációhoz kapcsolódó egyik zárt Signal-csoportban zajlott beszélgetésrészlet, amiben a Tisza Párt egyik vezető informatikusa, Rosta Bendegúz tájékoztatta a többieket a szivárgás körülményeiről.

Rosta megerősítette, hogy az incidens valóban megtörtént, és hogy sikerült eltávolíttatni mindenhonnan. A csoport tagjai érdeklődtek, hogy belső szivárogtatás volt-e, vagy külső ember a felelős az esetért. Az informatikus erre azt válaszolta, hogy vizsgálják a történteket. A Magyar Nemzet cikke rámutatott, hogy ezek szerint vasárnap este a Tisza applikációja mögött álló csapat még nem tudott semmit az adatok kikerülésének okáról – ennek ellenére azonban Magyar Péter, a Tisza Párt vezetője azt hazudta, hogy orosz hátterű nemzetközi hekkerek általi támadás történt.

Rosta azt is részletezte, hogy mely fórumokról távolították el a több mint 200 ezer magánszemély adatait tartalmazó hivatkozásokat: Redditről egy Tisza Sziget-tag segített eltüntetni két posztot, Prohardverről Rosta egy személyes ismerősén keresztül sikerült töröltetni az adatokat, továbbá négy másik külföldi oldalról is eltávolíttatták.

Az egyik csoporttag felhívta a többiek figyelmét arra, hogy „az október 5-öt nehogy közölje valaki hivatalból”, mert akkor a „NAIH majd megint megbírságol minket milliókra” – bár valójában onnantól kezdve ketyeg a 72 óra, hogy a tudomásukra jutott a szivárgás. A szőnyeg alá söprésre való szándék ennek ellenére is megmutatkozott a csevegésben.

Rosta arról is beszámolt a csoportban, hogy az első szivárgás egy belsős ember miatt történt – olyan helyre küldött bizalmas adatokat, ahol „spicli volt”.

A Signal-beszélgetés tagjai sem örültek a helyzetnek: felhívták a figyelmet, hogy a potenciális jelöltek így nem fogják megadni az adataikat a pártnak, és az így is bizonytalan „Marika nénit” nehezebb lesz meggyőzni.

(Kiemelt kép forrása: Magyar Nemzet)