Eljárást indított a hatóság a magyar jelszólopás ügyében

Kiszivárgott több mint 15 ezer magyar gmailes jelszava. Az e-mail címet és a futóversenyeken használt jelszavakat egy észt fájlmegosztó portálon tették közzé. Az adatokat a Budapest Sportirodánál még februárban történt adatlopás során szerezték meg ismeretlenek.

Az Origo a magyarok közzétett adatai kapcsán bejelentést tett a a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH), ahol hétfőn

„a panaszbeadványra, illetve az üggyel kapcsolatos híradásokra tekintettel”.

Mint fogalmaztak: a hatóság „az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 60. § (4) bekezdése szerinti hatósági eljárást megindítása mellett döntött a www.futanet.hu weboldalt üzemeltető Budapest Sportiroda Sport Marketing Kft. adatkezelése tárgyában”.

A BSI még nem kapott értesítést a hatósági eljárás megkezdéséről, közölte Kocsis Árpád. A Budapest Sportiroda ügyvezetője a sajtóból értesült róla.

Az olvasói levelekből kiderült, a Budapest Sportiroda (BSI) vélhetően nem titkosította az általa tárolt adatokat. A regisztrációs (nevezési) és a bejelentkezési oldal sem használt SSL-kapcsolatot, nem jelent meg a lakat ikon a böngésző címsorában. Azaz

Arról értesítették ugyan a futókat, hogy a rendszerükbe betörés történt, és onnan illetéktelenek, vélhetően ázsiai IP-címekről adatokat szerezhettek meg, de a levélben még feltételes módban szerepelt az adatlopás.

A nevezési rendszert leállították, a biztonsági rést egy hét alatt befoltozták, a felhasználóknak véletlenszerűen generált jelszavakat osztottak ki, amellyel belépve új jelszó megadására szólította fel őket a felület. Azonban a vizsgálat eredményéről nem tájékoztatták az érintetteket, sokan sérelmezték, hogy az adatlopás tényéről csak a sajtóból értesültek.

A legnagyobb probléma, hogy

így nem csak a BSI-hez való belépési adataik, de például a Gmail-, Facebook-fiókjuk is kompromittálódott. Így járt olvasónk is, akinek a Spotify-fiókját törték fel a múlt héten.

Újabb listák

A múlt csütörtöki cikket követően újabb listák jutottak az Origo birtokába. Ezekben már freemailes, citromailes és egyéb levelezőrendszerekből származó magyar felhasználók neve és jelszava volt látható. Csak feltételezhető, hogy ezeket sem a levelezőrendszer feltörésével, hanem egyéb nem megfelelően védett honlapokról, illetve fórumokról szerezhették meg az elkövetők.

Az első listát megosztó felhasználó neve olyan közösségi oldalakon bukkant fel, ahol ehhez hasonló listákat és adatbázisokat csereberélnek a tagok. Azaz

Mint az Origo szakértője elmondta, ezen programok elsősorban a gyenge jelszavak ellen hatásosak. „Adott oldalakra (például Spotify) lehet vele konfigurálni, és akinek van kedve, az futtatgathatja, hátha talál valamit.”

Aki nem biztos benne, hogy a fiókja kompromittálódott-e, az a https://haveibeenpwned.com/ és más hasonló oldalakon leellenőrizheti, hogy kiszivárgott-e az e-mail címe adatlopás vagy hackertámadás során.

A neveket és jelszavakat tartalmazó listákat az Origo biztonsági okokból, illetve a Magyarországon hatályos törvények alapján nem osztja meg.