Kiszivárgott több mint 15 ezer magyar gmailes címe és jelszava. Egy észt fájlmegosztó portálon tették közzé szöveges formátumban a listát. Kipróbáltuk, az adatok helyesnek bizonyultak. Az adatok a Budapest Sportiroda rendszeréből származtak. Az Origo az adatvédelmi hatóságnál tett bejelentést az ügyben.

Több mint 15 ezer magyar google-os felhasználóneve és jelszava került ki az internetre. Egy észt fájlmegosztó portálon tették ki a listát szöveges formátumban. A tesztek során az adatok helyesnek bizonyultak, bár volt, akinek egy korábbi jelszava volt elérhető, és azóta már többször megváltoztatta.

Az Origo az adatvédelmi hivatalnál tett bejelentést az ügyben.

Nem a Gmailt törték fel

Minden azzal kedődött, hogy két-három napja a Spotify-fiókomat feltörték – meséli olvasónk, legyen a neve Béla. „Akkor azonnal megtettem a szükséges intézkedéseket, a Spotify ügyfélszolgálatával is leveleztem, jelszót változtattam, minden helyreállt.”

Mint egy természeti katasztrófa után a tűzoltás, amikor hirtelen elkezdenek statikai vizsgálatokat végezni az épületeken, Béla úgy kezdte átnézni az összes fiókját. „Kíváncsi voltam, mennyire erős a védelem a személyes adataim felett, utánaolvastam, és több fióknál is jelszót változtattam.”

Már a folyamat végén járt emberünk, amikor utolsó lépésként még beütötte a Gmail-címét a Google keresőjébe. Legnagyobb meglepetésére kidobott egy oldalt, ahol nemcsak a felhasználónév, de egy jelszó is ott csücsült.

Valós jelszó volt, de nem a Google-fiókomhoz, hanem egy másik oldalnál használt kód. Persze én időközben megváltoztattam, de nem biztos, hogy ez vonatkozik a többi felhasználóra is.”

Mint mondja, egy-két, a listán szereplő címet a barátjával ők is ellenőriztek, és helyesek voltak az adatok. A fiókok, jelszavak stimmeltek, bár volt, aki már megváltoztatta a listán szereplő verziót, de akadt olyan is, akinek más apphoz, oldalhoz tartozó jelszava volt látható.

Csereberélik a jelszavakat

„Ezek után rákerestem az észt fájlmegosztó oldal felhasználójára, aki a listát feltöltötte” – mondta az áldozat. Olyan közösségi oldalakat talált, amelyeken feltört oldalakról származó felhasználónév-jelszó kombinációkat osztottak meg egymással a bűnözök. Sőt, programokat és módszereket is ajánlottak, hogy a különböző appokat, oldalakat hogyan lehet meghekkelni.

Adásvétel, cserebere is volt: 500 ezer és 1 millió fős listákat emlegettek.”

Végül Béla talált egy olyan bejegyzést, amelyben kimondottan a Spotify került szóba, azt írta egy felhasználó: „Köszi, hatalmas a lista, holnap kipróbálom majd, melyiknél van előfizetés (premium account), és akkor a banki adatokat is megszerezhetjük.”

A könnyű jelszót becserkészik

A képen látható Sentry MBA egy jelszófeltörő program, mondta Földes László, az Origo IT-szakértője kérdésünkre. „Normális jelszavak ellen nem hatásos, de az olyan egyszerű jelszót, mint az »alma«, aránylag könnyen megfejti.”

„Adott oldalakra (például Spotify) lehet vele konfigurálni, és akinek van kedve, az futtatgathatja, hátha talál valamit. Azokat az oldalakat szokták törögetni, amelyeken a felhasználónév publikus, például fórumok, ahol a nick (becenév) azonos lehet a felhasználónévvel. Ha a fórummotor pocsék, és a jelszó is pocsék, akkor az adott fórumon fel lehet törni a felhasználó jelszavát, majd ezután a becenévre keresve tovább lehet keresni a felhasználóra.

Aztán mindenhol, ahol az adott felhasználónév szerepel, ott meg lehet próbálni a jelszót, mert általában mindenhol ugyanazt a jelszót használják.”

Nem védjük rendesen az adatainkat

Az elmondottak alapján feltételezhető már, hogy nem magát a Gmail-fiókot törték fel, hanem egy másik oldalon, appon keresztül szerezhették meg a felhasználók adatait. A problémát tehát az jelenti, amikor valaki ugyanazt a fiókot és jelszót használja több helyen is, és ezáltal a bűnözők rögtön mindegyikhez hozzáférnek.

A felhasználók nem elég óvatosak a jelszavaikat illetően: csak 38 százalékuk hoz létre erős jelszavakat minden egyes fiókjához, és hétből egy felhasználó ugyanazt a jelszót használja az összes fiókjához, derült a Kaspersky Lab, biztonsági cég februári kutatásából.

Tizenkét százalékuk meg sem próbálja bonyolultabbá tenni a jelszavát például nagy- és kisbetűk, számok és egyéb speciális karakterek (@&#) használatával. Az észt oldalon lévő listán is nagyon sok gyenge jelszó található: a felhasználó neve, születési dátuma, 12345 és hasonlók.

Személyes adattal való visszaélés

A magyar büntetőtörvénykönyv (Btk.) tiltja a személyes adattal való visszaélést, azonban csupán haszonszerzés és jelentős érdeksérelem esetén indítanak eljárást. Alapesetben egy évig terjedő szabadságvesztéssel büntethető az elkövető.

Ez a törvény akkor is alkalmazható, ha az illető nem maga törte fel az adatbázist, és szerezte meg az adatokat, de visszaélt velük, felhasználta, közzétette őket.

Bűncselekménynek minősül az is, ha valaki az információs rendszer védelmének „megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, vagy azt megsértve bent marad”. Ezt két évig terjedő szabadságvesztéssel büntetik.

2018-tól új EU-s jogszabály lesz

A 2015. októberi információs törvény az adatkezelő számára csupán nyilvántartás vezetését teszi kötelezővé. Azaz ha incidens (hackertámadás) történik, akkor az adatkezelőnek – jelen esetben a Google-nak vagy a Spotifynak – vezetnie kell, kik az érintettek, mit loptak el, mikor, hogyan történt az eset, mit tett meg az elhárítása érdekében.

Ezen cégeknek azonban a magyar jogszabályok szerint nem kötelező jelenteniük az esetet: azaz nem kell bejelenteniük a hatóságoknak, és értesíteniük a felhasználókat. Kivételt képez, ha a privát szférára jelentős hatással járó adatlopás történik.

„Ez persze a 2018 első felében életbe lépő új uniós adatvédelmi rendelettel módosul. Akkor már nem csak az elektronikus hírközlési szolgáltatók (telekommunikációs cégek) lesznek kötelesek jelenteni az incidenseket, és értesíteni az ügyfeleket, de az olyan elektronikus kereskedelmi szolgáltatók is, mint a Google vagy a Spotify” – mondta el dr. Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda jogásza.

Jelentsük a hivatalnak

Kérdésünkre elmondta, ha valaki ilyen adatbázis birtokába jut, akkor a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH) tehet bejelentést, telekommunikációs cég esetén pedig a Nemzeti Média- és Hírközlési Hatóságnál (NMHH).

Mint hozzátette, hivatalból kivizsgálják az ügyet, de külföldi szolgáltató esetén nincs könnyű dolguk a hatóságoknak. „Bár legjobb tudomásom szerint minden uniós tagországban van törvény a személyes adattal való visszaélésre, és így együtt lehet működni.”

„Ez egyértelműen személyes adattal való visszaélés, hatósági eljárás keretében fogjuk kivizsgálni” – mondta az Origo kérdésére dr. Péterfalvi Attila, a NAIH elnöke. Mint elmondta, ha saját hatáskörben nem tudják felderíteni az ügyet, akkor bűncselekmény gyanúja miatt ismeretlen tettes ellen a hatóság fog feljelentést tenni.

Futók, változtassatok jelszót!

Végül kiderült, hogy a Budapest Sportiroda (BSI) oldalát törték fel hackerek. E-mailben meg is erősítették a támadás tényét, és a kicsit több, mint 15 ezer fős létszám is stimmel az adatok alapján. Mint fogalmaztak, a BSI nevezési rendszerébe törtek be illetéktelenek, „jelen tudomásunk szerint ázsiai IP-címekről”, ahol a profilhoz tartozó adatokhoz is hozzáfértek.

A futóversenyeket szervező iroda jelenleg még vizsgálja a támadás mértékét és az esetlegesen ellopott adatok körét. Mint közölték, bankkártya- és fizetési információkat nem tárolnak. Nevezéskor a felhasználót az OTP Bank biztonságos, háromlépcsős fizetési felületére irányítják át, így ilyen adatok nem kerültek a birtokukba, a támadás ezeket nem érinti.

Az online nevezési rendszert a biztonsági rés befoltozásáig leállította a BSI. A korábban használt jelszavakat egy véletlenszerűen generált jelszóra változtatták. Ha újraindul a nevezés, egy jelszó-emlékeztető kérésével tudják majd a felhasználók megváltoztatni a jelszavukat.

Felhívták az érintettek figyelmét, ha az adott e-mail-cím és jelszó kombinációt más felületen is használják, akkor haladéktalanul módosítsák.

A fejleményekről ezen a linken adnak majd további tájékoztatást.