Adatvédelmi botrány: „Aki ezt csinálta, azt mind börtönbe kéne rakni, mert ez nagyon súlyos”

A Helyzet van! legújabb adásában Frész Ferencet, az állami kibervédelmi központ korábbi vezetőjét kérdeztük a Tisza Párt adatbázisából ellopott adatokról és az ügy lehetséges következményeiről.

A szakértő szerint ennél a műveletnél nem volt feltétlenül szükség külföldi titkosszolgálat közreműködésére: „Ha egy nagyon védett adatbázisról van szó, és azt nagyon nehéz akár technológiailag feltörni, akkor esetleg lehetne erre következtetni, de az én véleményem szerint ez egészen biztosan nem a Tisza Világ applikáció feltörésén keresztül kiszedett adathalmaz, hanem ez több adathalmaz összeragasztása egy adatbázisban.” De szerinte ezek valójában nem homogének az adatok, hanem több forrásból lehetnek összeollózva. „Tehát nem úgy néz ki, mintha valaki nekiállt volna a webes alkalmazáson keresztül feltörni egy belső adatbázist, és onnan kiszedni az adatokat. Az a nyers adatbázis másképp néz ki. És ráadásul, hogyha összevetjük a 20 ezres listát, meg a 200 ezres listát, akkor nagyon-nagyon kevés az egyező találat.” Mivel ezeket a kikerült adatokat a kormányközeli lapok újrapublikálták, valakik még térképre is kitették, ezért Frész Ferenc szerint személyes adattal való visszaélésről beszélhetünk. Ráadásul szándékosan.

„Aki ezt csinálta, azt mind börtönbe kéne rakni, mert ez nagyon súlyos.”

Az adatok újraközlése azért is súlyos, mert akik a térképes alkalmazásra tették ezeket, olyan megoldást választottak, ahol a térkép mögött minden böngészőbe betöltődik a teljes adatbázis.

„Tehát aki megnézte ezt a térképet, annak a számítógépre letöltődött az egész. Tehát innentől kezdve valójában nagyon nehéz behatárolni azt, hogy mennyire terjedt el, hány gépre, hány emberhez jutott el a teljes adatbázis, ami a térkép mögött volt, és innentől kezdve technikailag volt nagyon rosszul megcsinálva, és innentől kezdve nem csak azt az adatot vitte el a látogató, amire kíváncsi volt, hanem az egészet. Ez olyan rosszul volt megcsinálva, hogy ezt a Google és az összes keresőmotor is be tudhatta indexelni. Emiatt várható, hogy a keresési eredményekben csak úgy megjelennek ezek az adatok, amíg a Google erről nem gondoskodik. Tehát ha valaki ilyet észlel, azonnal adattörlési kérelmet kell küldenie a Google-nek, hogy ne lógjanak kint a személyes adatai az interneten csak úgy. Illetőleg a Have I Been Pwned nevű oldal is rendelkezésre áll, ahol meg lehet vizsgálni azt, hogy valaki érintett ebben az ügyben, vagy nem.”

Frész Ferenc úgy látja, hogy az elejétől a végéig meg kell vizsgálni, hogy az adatkezelő, ebben az esetben a párt megfelelően kezelte-e ezeket az adatokat. „Nyilván itt volt felhatalmazásuk a regisztrálóktól, remélhetőleg volt felhatalmazás az adatkezelésre, tehát ők ezt joggal kezelik. Ugye a párt adatkezelési irányelveit megnézve gyakorlatilag korlátlan felhasználása van ezeknek az adatoknak. Aki itt regisztrál, azt elfogadja. Viszont azt meg kell vizsgálni, hogy ezt megfelelően védték-e le. Ugye ez az egyik történet.” Ugyanakkor emellett aki ezeket az adatokat eltulajdonította és közzétette, majd szándékosan felépített belőle bővített adatbázist (tehát az doxolás is megvalósul), ott felmerül a büntetőjogi és az adatvédelmi oldala is a történetnek.

„Az a helyzet, hogy ezek az adatok nemcsak általános személyes adatok, hanem különleges adatok is, ami azt jelenti, hogy a személyek, az érintettek, az adattulajdonosok egyértelműen azonosíthatóak ebből az adatbázisból. Plusz a párthovatartozásuk is beazonosítható, innentől kezdve ez különleges adatnak minősül, tehát dupla büntetés jár érte a Büntető törvénykönyv alapján. Illetőleg kiemelt büntetés jár érte GDPR alapján. Úgyhogy ez a kettő az, ami várható, remélhetőleg ez be is fog következni, hogy aki ezt elkövette, és aztán újraposztolta és újra nyilvánossá tette, azoknál BTK-s ügy is megállhat, az két év börtön egyébként ebben az esetben, mert különleges adatokról van szó.”

Az érintetteknek a szakértő azt javasolta, hogy az összes jelszavukat az összes rendszerben változtassák meg, és ahol lehet, ott erős autentikációt állítsanak be, ha még nincs beállítva. Másrészt mindenképpen feljelentést kell tenni a legközelebbi rendőrkapitányságon, aztán a Nemzeti Adatvédelmi és Információszabadság Hatóságnál is bejelentést kell tenni. „Akinek van képernyőmentése, bármilyen olyan beszélgetésről, screenshot, ami bizonyíthatja, hogy ő érintett, azt mindenképpen tárolja el, és tegyen feljelentést ismeretlen tettes ellen.”

A műsor podcast formában is meghallgatható: