Pár napja írtunk arról, hogy egy orosz online fórumra felkerült egy lista elképesztő mennyiségű lopott felhasználónévvel és jelszóval, és minimum több százezer magyar felhasználó is érintett. A listát kiszúró Kiberblog azóta több további posztban folytatta a lista feldolgozását, és most egy összegzés is megjelent, eszerint

legalább másfél millió magyar felhasználó adatai szivárogtak ki.

A közel 404 millió adat között egész pontosan 1 410 364 magyar rekord található – és ezek csak azok, amelyek .hu végződésűek, vagyis szinte biztosan magyar felhasználóhoz köthetők, a valós magyar érintettség ennél jóval nagyobb lehet. Az adatok jellemzően már korábban kiszivároghattak, itt most csak összegyűjtötte őket valaki.

A lista szépen kategóriákba gyűjtve, könnyen kereshető formába rendezte a kiszivárgott adatokat: a pornótól a játékokon és a vásárláson át a játékokig a legkülönfélébb típusú oldalakról származnak. Néhány nagyobb ország is külön kategóriát kapott, illetve van egy kifejezetten céges adatokat gyűjtő mappa. Így néz ki kategóriákra bontva a magyar adatok megoszlása:

Fotó: Kiberblog

A Kiberblogot író Kocsis Tamás, a Secure Networx nevű IT-biztonsági cég vezetője mind a hét azonosítható érintett magyar oldalt megkereste, egy kivétellel sikerült is elérnie az üzemeltetőket, akik jellemzően köszönték a segítséget és értesítették a felhasználóikat, illetve volt, aki az oldal biztonságának javítását is ígérte.

Az azonban tanulságos, hogy eddig egyik oldalnál se tudtak arról, hogy adatok kerültek ki tőlük. Az is világos, hogy nem valamilyen őrülten kifinomult hekkelésről van szó, alapvető biztonsági hibák kihasználása is elegendő lehetett az adatlopáshoz, illetve a nem megfelelő erősségű titkosítással védett jelszavak visszafejtéséhez – már ha egyáltalán titkosítva voltak.

A cégeknek a május 25-étől érvényes új EU-s adatvédelmi rendelet, a GDPR értelmében minden adatvédelmi incidens, például nagy kockázatot jelentő adatlopás esetén értesíteniük kell majd az érintett felhasználókat is. Emellett minden cég az eddiginél sokkal komolyabb büntetésekre számíthat, ha nem védi elég erősen a felhasználói adatait, és a szigor alól a kis vállalkozások se lesznek kivételek, ha nem akarnak kemény pénzeket fizetni a fentihez hasonló esetekben.

Ha ön is érintettnek érzi magát valamelyik fent szereplő oldal miatt, ne csak ott változtassa meg a jelszavát, hanem mindenhol, ahol ugyanazt a jelszót használta, mert általában a hekkerek is igyekeznek újrahasznosítani a lopott adatokat, és mondjuk egy pornóoldalon megadott felhasználónév-jelszó kombinációval a Gmailen vagy Facebookon is könnyen bepróbálkozhatnak. Ebben a cikkben azt is megmutattuk, hogyan tudja ellenőrizni, hogy érintett-e más adatlopásokban. Egyébként meg lehetőleg ne használja ugyanazt a jelszót több helyen, és ahol csak lehet, használjon kéttényezős hitelesítést.