Eljárást indított a hatóság a magyar jelszólopás ügyében

2016.04.04. 16:14

Eljárást indított az adatvédelmi hatóság az Origo múlt csütörtökön tett bejelentése alapján a Futanet.hu-t üzemeltető Budapest Sportiroda adatkezelése kapcsán. 

Kiszivárgott több mint 15 ezer magyar gmailes jelszava. Az e-mail címet és a futóversenyeken használt jelszavakat egy észt fájlmegosztó portálon tették közzé. Az adatokat a Budapest Sportirodánál még februárban történt adatlopás során szerezték meg ismeretlenek. 

Az Origo a magyarok közzétett adatai kapcsán bejelentést tett a a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH), ahol hétfőn hatósági eljárást indítottak „a panaszbeadványra, illetve az üggyel kapcsolatos híradásokra tekintettel”. 

Mint fogalmaztak: a hatóság „az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 60. § (4) bekezdése szerinti hatósági eljárást megindítása mellett döntött a www.futanet.hu weboldalt üzemeltető Budapest Sportiroda Sport Marketing Kft. adatkezelése tárgyában”. 

A BSI még nem kapott értesítést a hatósági eljárás megkezdéséről, közölte Kocsis Árpád. A Budapest Sportiroda ügyvezetője a sajtóból értesült róla.

A nevezési rendszert leállítottákForrás: Origo

Az olvasói levelekből kiderült, a Budapest Sportiroda (BSI) vélhetően nem titkosította az általa tárolt adatokat. A regisztrációs (nevezési) és a bejelentkezési oldal sem használt SSL-kapcsolatot, nem jelent meg a lakat ikon a böngésző címsorában. Azaz gyakorlatilag nyers, olvasható formában utaztak a küldött adatok. 

Arról értesítették ugyan a futókat, hogy a rendszerükbe betörés történt, és onnan illetéktelenek, vélhetően ázsiai IP-címekről adatokat szerezhettek meg, de a levélben még feltételes módban szerepelt az adatlopás. 

Több mint 15 ezer felhasználónév-jelszó került ki az internetreForrás: Origo

A nevezési rendszert leállították, a biztonsági rést egy hét alatt befoltozták, a felhasználóknak véletlenszerűen generált jelszavakat osztottak ki, amellyel belépve új jelszó megadására szólította fel őket a felület. Azonban a vizsgálat eredményéről nem tájékoztatták az érintetteket, sokan sérelmezték, hogy az adatlopás tényéről csak a sajtóból értesültek. 

A legnagyobb probléma, hogy a legtöbb felhasználó ugyanazt a felhasználónév-jelszó kombinációt használja mindenütt, így nem csak a BSI-hez való belépési adataik, de például a Gmail-, Facebook-fiókjuk is kompromittálódott. Így járt olvasónk is, akinek a Spotify-fiókját törték fel a múlt héten. 

Újabb listák

A múlt csütörtöki cikket követően újabb listák jutottak az Origo birtokába. Ezekben már freemailes, citromailes és egyéb levelezőrendszerekből származó magyar felhasználók neve és jelszava volt látható. Csak feltételezhető, hogy ezeket sem a levelezőrendszer feltörésével, hanem egyéb nem megfelelően védett honlapokról, illetve fórumokról szerezhették meg az elkövetők. 

Az első listát megosztó felhasználó neve olyan közösségi oldalakon bukkant fel, ahol ehhez hasonló listákat és adatbázisokat csereberélnek a tagok. Azaz feltört oldalakról származó felhasználónév-jelszó kombinációkat osztottak meg egymással a bűnözők. Sőt, programokat és módszereket is ajánlottak, hogy a különböző appokat, oldalakat hogyan lehet meghekkelni. 

Akad 3-500 ezres lista, és millió feletti isForrás: Origo

Mint az Origo szakértője elmondta, ezen programok elsősorban a gyenge jelszavak ellen hatásosak. „Adott oldalakra (például Spotify) lehet vele konfigurálni, és akinek van kedve, az futtatgathatja, hátha talál valamit.”

Aki nem biztos benne, hogy a fiókja kompromittálódott-e, az a  https://haveibeenpwned.com/ és más hasonló oldalakon leellenőrizheti, hogy kiszivárgott-e az e-mail címe adatlopás vagy hackertámadás során. 

A neveket és jelszavakat tartalmazó listákat az Origo biztonsági okokból, illetve a Magyarországon hatályos törvények alapján nem osztja meg. 

Előzmény: