Újabb adatbázisok jutottak az Origo birtokába a tegnapi, kicsit több, mint 15 ezer fős lista után.
Egy 2015. augusztusi keltezésű dokumentumban több mint 800 Facebook-azonosító van. A nevekből és szolgáltatókból jól látszik, hogy magyarokról van szó.
Akad gmailes, freemailes, hotmailes, citromailes és yahoos fiók is, a Facebook-jelszóval együtt.
Az adatbázist ugyanazon a közösségi oldalon csereberélik és adják, mint ahol a BSI adatait feltöltő felhasználó is ténykedik. Ezt a listát azonban már vendégfiókkal töltötték fel az észt fájlmegosztóra, még nehezebbé téve, hogy a felhasználó után nyomozni lehessen.
Egy 2015. decemberi listán pár darab gmailes és freemailes felhasználónév-jelszó kombináció volt, egy 2011. augusztusi dokumentumban pedig kizárólag freemailes fiókok adatai.
A legtöbb adatot vélhetően ez esetben sem a levelezőrendszer berkeiből szerezték meg, hanem egyéb oldalakról, appokból, amiket feltörtek, vagy azon helyekről (pl. fórumok), ahol a felhasználónév publikus.
A tegnapi cikk kapcsán záporoztak a levelek az olvasóktól, amelyből úgy tűnik, a Budapest Sportiroda (BSI) vélhetően nem titkosította az általa tárolt adatokat. A regisztrációs (nevezési) és a bejelentkezési oldal sem használt SSL kapcsolatot,
nem jelent meg a lakat ikon a böngésző címsorában.
Azaz gyakorlatilag nyers, olvasható formában utaztak a küldött adatok.
Maga az adatlopás korábban, még február elején történt, erről azonnal értesítették is a felhasználókat, és felkérték őket, hogy ha máshol is használják ezt a felhasználónév-jelszó kombinációt, azt haladéktalanul módosítsák.
„Amikor tudomásunkra jutott az adatlopás, mi azonnal értesítettük a felhasználókat, több mint 90 ezer levél ment ki” - mondta Kocsis Árpád, a Budapest Sportiroda ügyvezető igazgatója az Origónak. Leállították a nevezési rendszert, a felhasználóknak pedig egy véletlenszerűen generált jelszót osztottak ki ideiglenesen. Enélkül nem tudták volna a futók használni a rendszert.
A biztonsági rést, amely az adatlopást lehetővé tette, befoltoztuk,
és egy erősebb tűzfalat is felhúztunk. Azóta nem is törtek be a rendszerünkbe" - mondta a BSI ügyvezetője.
Egy hét alatt felállt az új rendszer. A felhasználók a generált jelszóval tudtak belépni, de utána rögtön felszólította őket a felület, hogy adjanak meg egy újat. „Bár kifejezetten hangsúlyoztuk a levélben, hogy
ne ugyanazt a jelszót adják meg, amit korábban használtak,
sokan mégis így tettek” - meséli Kocsis Árpád.
Az is igaz azonban, hogy a levélben még feltételes módban szerepelt az adatlopás, és azt írták: „Jelenleg még vizsgáljuk a támadás mértékét és az esetlegesen ellopott adatok körét.” Több érintett is azt mondta az Origónak, ez némileg elaltatta az éberségüket, mert várták az újabb levelet a vizsgálat végeredményéről, de az nem jött.
A BSI nevezési rendszere 2008 óta működik, mégis - mint az ügyvezető kifejtette - először kaptak visszajelzést arról, hogy hiba van a felületen. Azonban látják, hogy a korral haladni kell,
idén teljesen új felületet kapnak a futóversenyek
és a nevezési oldal. „Már folyik a tenderezés, reményeink szerint 2-3 hónap múlva be tudjuk üzemelni.”
Arról, hogy eddig milyen védelmet alkalmaztak, Kocsis csak annyit mond, erről csak a BSI biztonsági szakemberei tudnának nyilatkozni.
Ha nem telekommunikációs cégről beszélünk, akkor az adatkezelőnek csupán nyilvántartás-vezetési kötelezettsége van - mondta kérdésünkre Dr. Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda jogásza.
Azaz ha adatlopás történik, azt a jelenleg hatályos magyar jogszabályok szerint a BSI-nek nem kell jelentenie a hatóságok felé, ahogy a felhasználókat sem kell értesítenie. Ez 2018-ban az új uniós adatvédelmi rendelettel fog változni.
Viszont
ha a hatóságok megkeresik, akkor kötelesek átadni a vezetett belső nyilvántartást.
Ennek a 2015. októberi információs törvény alapján tartalmaznia kell:
Ha pedig egy érintett keresi meg az adott céget, jelen esetben a BSI-t ezzel kapcsolatban, akkor kötelesek tájékoztatást adni a megkereséstől számított 25 napon belül.
„A hatóságok csupán a kockázatoknak megfelelő biztonsági szint alkalmazását várják el” - mondja az ügyvéd. Azaz a jelen esetben illetékes hivatal, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
nem várja el a Budapest Sportirodától sem, hogy egy bankhoz hasonló védelmi rendszere legyen,
amely a felhasználók adataiért felel.
Vagyis nem hibáztak azzal, hogy nem titkosított csatornán fogadták és küldték az adatokat.
„Azzal, hogy a különböző cégek nem titkosítják az adatokat,
százszor akkora veszélynek teszik ki a felhasználókat,
mintha harmadik félnek kiadnák azokat” - mondta az Origónak több, névtelenül nyilatkozó szakértő is.
Éppen ezért is fontos, ha egy új iPhone vagy androidos mobil lehetővé teszi, hogy a mobilkészülékeken tárolt személyes adatokat akár a magánemberek is tudják titkosítani.
Ahogy az észt miniszterelnök amerikai látogatása során fogalmazott: a kormányok nem állhatnak a technológiai fejlődés útjába.
A kormányoknak segíteni és nem gátolni kellene az innovációt”
- mondta.
Fontos megjegyezni azonban, hogy hatalmas felelősség terheli a felhasználót is. Az előző cikkünkben szereplő és az új listákon is
rendkívül gyenge jelszavak találhatóak:
a felhasználónév, a születési dátum, 6 karakternél rövidebb szavak és jobb esetben számok is, 123456 különböző hosszúságban, „jelszo” van megadva.
Minden századik volt olyan, amely már 8 karakternél hosszabb volt, tartalmazott kis- és nagybetűt, számot, és speciális karaktereket is, mint például a P1nt3rM0n1k@.
A legjobb taktika a példából kiindulva, ha sémákat gyártunk magunknak:
Érdemes használni a kétlépcsős azonosítást is, ahol elérhető (pl. Gmail, Facebook). Ahol a jelszó megadása után egy megadott telefonszámra elküldenek egy kódot, és ezt is meg kell adni ahhoz, hogy a fiókba beléphessünk.
A Microsoft a Build fejlesztői konferenciáján jelentette be, hogy az új Edge böngészővel
lehetővé válik a biometrikus azonosítás a weboldalakon.
Nincsenek többé jelszavak, nem kell megjegyezni őket, nem kell emlékeztető, csak egy ujjlenyomat.
A Windows Hello beléptető rendszere képes olyan egyedi jellemzők alapján azonosítani a felhasználót, mint az ujjlenyomat, arckép vagy írisz.