Kétezer ember személyes adatai szivárogtak ki, miután feltörtek egy kormányzati oldalt

A Telex információ szerint egy héten belül már a második kormányzati weboldalt hekkelték meg. A lap azt közölte, hogy a mostani eset súlyosabb, mint az előző, amikor csak az oldalt módosították, mert ezúttal személyes adatokat is kiszivárogtattak. A hekkert is elérték, aki azt mondta, a Mr. Robot című sorozat inspirálja őket.

A szóban forgó honlap az Energiaügyi Minisztérium alá tartozó Nemzeti Klímavédelmi Hatóság (NKVH) egyik weboldala, a Klímagáz Adatbázis. Az oldalról megszerzett adatokat végül a Telegramon tette közzé a hekker. 

A lap azt írja, hogy a Klímagáz Adatbázis esetében defacement, azaz az oldal tartalmának megváltoztatása nem történt, a hekker azonban kedd este közzétett a Telegramon egy linket, amelyről letölthető a feltört oldalról ellopott adatbázis, benne többek között személyes adatokkal. A hekker ezzel a leírással tette ki a bejegyzését:

„sziasztok! most elhoztam nektek egy kis vicces SQL fájlt, mely a nemzetiklimavedelmihatosag.kormany.hu weboldalról lett letöltve. ^^ sajnos most nem sikerult a deface, es amugy kedves telex ne mondjatok hogy a deface a legprimitivebb dolog, hisz nem az mivel kormany oldalrol beszelunk bruh”

A lap úgy tudja, hogy a hekker által közzétett adatbázisban megtalálható többek között az érintett cégek neve, címe, a kibocsátási értékeik, az engedélyeik, a feltöltött jelentéseik (csak a fájlnevek, maguk a fájlok nem). Emellett azonban személyes adatok is szerepelnek benne: az érintett cégek kontaktszemélyének neve, titulusa, telefonszáma és emailcíme. A cikk szerint

• 2061 egyedi emailcím található a kiszivárgott fájlban
• 727 belépési adat, azaz felhasználónév–jelszó páros is szerepel benne

Azt ugyanakkor hozzáteszik, hogy a belépési adatoknál a jelszavak kódolva vannak, így azokkal nem lehet közvetlenül belépni, igaz, azt nem tudták megállapítani, hogy a kódolás mennyire fejthető vissza könnyedén.

Hozzáteszik, hogy mivel személyes adatok is kiszivárogtak, az adatkezelő, azaz ebben az esetben a Nemzeti Klímavédelmi Hatóság az uniós adatvédelmi rendelet (GDPR) értelmében köteles bejelenteni a történteket a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH), valamint tjákoztatniuk kell az érintetteteket, mintegy kétezer embert.

A hekker a lapnak elmondta, hogy azt akarja megmutatni, hogy a magyarországi rendszerek rendkívül sérülékenyek.

A deface, ami történt, direkt volt, hisz ha nem lenne semmi, csak írnék a

rendszergazdának egy emailt: »Szia, feltörtem a rendszert xx módszerrel«,

akkor annak nem annyira lenne hatása 😀

– mondta a hekker a lapnak, de ugyanakkor azt is bevallották, hogy „unalomból is csinálják pár emberrel, akiket a Mr. Robot című sorozat inspirált.”

Nyitókép: illusztráció / Pexels