Példátlan adatszivárgási botrány történt idén ősszel, a Tisza Világ applikáció körüli vita ráadásul átpolitizált és egyáltalán nem szakmai, vélik az az Euronewsnak nyilatkozó jogi és kiberbiztonsági szakértők.
Példa nélküli, politikai szempontból a kormánypárt és az ellenzék által is hasznosított adatbotrányt azonosítanak a Tisza Világ applikációval összefüggésbe hozott szivárgásban az Euronewsnak nyilatkozó jogi és kiberbiztonsági szakértők. Cikkünkben áttekintjük, hogy az üggyel kapcsolatban mit tudunk, mit mond a politika, mit a sajtó, mit vizsgálnak jelenleg a hatóságok, és mit tehetnek az érintett felhasználók.
Mi történt?
A magyarok által fejlesztett Tisza Világ applikációt szeptember 9-én indította el a Tisza Párt, és azonnal népszerű lett az ellenzéki szavazók körében. A sajtóban alig egy hónappal később megjelentek állítások, amelyek szerint adatszivárgás történt: az applikációval összefüggésbe hozott kiszivárgott adatokról akkor azt mondták, hogy azok körülbelül 18-20 ezer felhasználóhoz tartoznak. Ezek terjedni kezdtek, strukturáltan azonban ekkor még nem hoztak nyilvánosságra adatokat.
Október 31-én egy nemzetközi szivárogtató fórumon vált publikussá a teljes, körülbelül 200 ezer felhasználó adatait tartalmazó adatbázis. Az adathalmazt “Tisza Világ app” eredetmegjelöléssel tették közzé. Ezt tartalmazta többek között a felhasználók nevét, lakcímét, telefonszámát, és email-címét is. Másnap egy techfórumon frissen regisztrált felhasználó a szivárgásról posztolt, amit pár perccel később a moderátorok töröltek, azonban más közösségi platformokon, például a Redditen politikai oldalak hozzászólásai között megosztották az aktív letöltőlinkeket. Ezeket később sokan letörölték, mégis sokan hozzáfértek az adatokhoz. November 4-ére a politikusok körében is ismertté válik az adathalmaz és egy interaktív webtérkép, amely a kiszivárgott adatokat ábrázolja.
November 6-án a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) közleményt adott ki, amelyben arra hívta fel a figyelmet, hogy súlyos adatvédelmi követelményeket sérthet a politikai pártok adatbázisaiból nyilvánosságra került személyes és különleges adatok médiatartalmakban történő felhasználása. Másnap az Index, majd a Magyar Nemzet, később pedig a magyar sajtó nagyrésze az incidensről cikkezett. A legtöbb sajtóorgánum nem osztotta meg a webtérkép linkjét, de voltak olyan kormányközeli lapok, amelyek igen.
Aznap este több magyar internetszolgáltató elkezdte blokkolni a tiszavilag[.]co domaint. Az oldal november 8-án reggelre az össszes magyarországi internetszolgáltatónál elérhetetlenné vált, november 9-érn pedig globálisan is letiltották azt. Másnap a NAIH újabb közleményben jogellenesnek ítélte a térképes vizualizációt, azt hangsúlyozva, hogy a személyes adatok ilyen formában való közzététele súlyosan megsérti az adatvédelmi követelményeket.
Időközben a NAIH elindított egy vizsgálatot. Péterfalvi Attila, a hatóság elnöke az ATV Egyenes beszéd című műsorában elmondta, hogy leghamarabb február végére, március elejére, tehát a választási kampányidőszak utolsó etapjában tudnak lezárni. Ez azt jelenti, hogy amennyiben a hatóságok munkája lassabb a Péterfi által vártnál, eredmények csak a választások után lehetnek.
Narratívák harca, jogsértések a sajtóban
Az ügyre rátelepedett a politika. Míg Orbán Viktor azt állítja, hogy részben ukrán beavatkozás történt, Magyar Péter orosz beavatkozással és a kormány részességével vádaskodik.
A kormánypárti sajtó egy része maga is jogsértést követett el, amikor maguk publikálták az adatbázisban látható adatsorokat. A többi között a Mandiner és a Lázár János érdekeltségi körében lévő Promenád24 is közzétette ezeket. Feltehetően a személyes adatok publikálásához nem járult hozzá mindenki, akinek az adatai érintettek az ügyben.
Újabb jogsértés történhetett, amikor feltételezhetően az adatbázisból tájékozódva Németh Balázs korábbi riporter, jelenleg a kormánypárt szóvivője egy Tisza-aktivista háza előtt készített felvételeket. Az aktivista a nyilvánossághoz fordult.
Furcsa tünetek
Névtelenséget kérő források az adatszivárgás több olyan tünetét is felfedezték, amelyek arra utalnak, hogy a kiszivárgott, körülbelül 200 ezer felhasználóhoz tartozó adatnál sokkal több kerülhetett illetéktelen kezekbe.
Van, aki bizalmatlanságból nem a valódi címét adta meg, a nyilvánosságra került adatsorban viszont a helyes címe szerepel. Olyan is van, aki a bérleményét adta meg mint címet, a kiszivárgott adatok között azonban a bejelentett címe látható, amit a hatóságokon kívül elmondása szerint senki nem tud.
Van olyan érintett is, aki a szüleihez van bejelentkezve, az applikációba a valódi otthonát vitte fel, az adatok között azonban mégis a szülei címe látható, sőt olyan is, aki bár a munkahelye címét adta meg a Tiszának, mégis lakhelye szerint szerepel a listán.
A doxxing módszere
A Tisza-adatszivárgás ügyében alkalmazott adatkezelési tevékenység módszertanát a szakértők doxxingnak nevezik. Ez Európában sérti a GDPR (Általános Adatvédelmi Rendelet) alapelveit, tehát bűncselekmény, az Egyesült Államokban a jogrendszer miatt nem feltétlenül az. A művelet során általában magánjellegű, személyazonosításra alkalmas információkat gyűjtenek össze, például a social mediából, és más típusú online profilokból, mondja Frész Ferenc kibervédelmi szakértő.
A módszer utolsó lépcsője az, hogy az adatsort az érintettek tudta nélkül nyilvánosságra hozzák. Frész szerint különböző motivációi lehetnek egy ilyen jellegű támadásnak, az elsődleges cél pedig az áldozat nyilvános azonosíthatóvá tétele. A módszer a megfélemlítés vagy a társadalmi megbélyegzés eszköze lehet. A mostani támadás szerinte egyértelműen politikai indíttatású, de rengeteg feltételezés van, ráadásul az ügy "csúnyán átpolitizált".
Mit vizsgál a NAIH?
A felelősség megoszlik. Az adatokat összegyűjtő és kezelő autoritás, jelen esetben a Tisza Párt, az adatokat feldolgozó személy vagy szervezet, és az adatokat publikáló egyén osztozik ezen. Mint azt Frész mondja, az utóbbi szereplő láthatóan "dúsította" az adatokat. Ezzel lehet azt is magyarázni, hogy a kiszivárgott adatbázisban megadatlan adatok is voltak.
Mint mondja, a magyar politikában ez példátlan eset. Az eddigi a legnagyobb adatbiztonsági eset a politikában a Demokratikus Koalícióhoz kötődő 2019-es botrány volt, amikor körülbelül 7000 adatrekord szivárgott ki, azonban ez nem mérhető össze a mostanival, ahogy 1998-ban történt esetek sem, amikor több párt egymás levelezéseit hozták nyilvánosságra.
A kiberbiztonsági szakértő nem biztos abban, hogy a publikált adatbázis kizárólag a Tisza applikációjából származik, szerinte több másik adatbázis is benne van az adatállományban. Ezt azzal magyarázza, hogy az adattömeg nem homogén. Szerinte igazolni kell a szándékosságot is, hiszen nem tiszta, hogy valóban lopás történt-e, vagy valaki rossz helyre másolta az adattömeget. A doxxing már műfaját tekintve is egyértelműen szándékolt
Mint mondja, jelenleg a NAIH többek között az informatikai rendszerek eseménynaplóiból rekonstruálja az eseménysort, és főleg az adatok kezelését, tárolását, hozzáférhetőségét vizsgálja. Szerinte a vizsgálat legnehezebb kérdése az, hogy honnan származik az adattenger. Az is lehet, hogy a kiszivárgott adatok mennyisége csak csepp a tengerben, és még több adat van, amelynek csak egy bizonyos részét tették publikussá.
Arról máig nem tudni, hogy az applikációt valóban feltörték-e, sem hogy a publikált adatbázisok minden esetben valós adatokat tartalmaznak-e, vagy egy politikai lejáratókampányhoz összetákolt adattömeg. Frész azt mondja, hogy ezeknek a kérdéseknek a nagyrésze a választásokig tisztázódhat, de nem biztos abban, hogy minden feltárható.
"Támadási felületeket adott a Tisza Világ"
Hegyi Áron adatvédelmi szakjogász azt mondja, hogy sokan tévednek amikor azt hiszik, hogy a magyar jogszabályok szabályozzák a személyes adatokkal való bánásmódot. Ez téves elképzelés, hiszen a magyarországi adatgazdálkodás mindennapjaiban az európai GDPR-rendelkezés (Általános Adatvédelmi Rendelet) a meghatározó. Ez a Tisza-applikáció ügyében nem csak az applikáció felhasználóira terjed ki, hanem mindenkire, aki adatáramlásban bármilyen szempontból érintett.
Az applikáció több módon is aktivizálni próbálja a felhasználóit. Hegyi szerint az egyik ilyen törekvése az a játékosított (gamification) "kihívás-rendszer", amelyben a játékban kapott feladatoknak való megfelelés közepette a felhasználó akár jogsértő tevékenységet is elkövethet. A jogásznak erre két példája is van: az egyik az, amikor az applikáció gyerekek lefotózására kéri a felhasználóit, a másik pedig, hogy koncertek rögzítését várja el tőlük. Mint mondja, ezek adatvédelmi szempontból hátrahagyott támadási felületek.
Az európai szabályozások szerint minden lefotózott magánszemélyt tájékoztatni kellene arról, hogy...
- felvétel készült róluk
- hová továbbítják az adatokat,
- és ha publikusak lesznek, hol lesznek azok
A gyerekek engedély nélküli lefotózása nagyon komoly jogsértés. Ez jogszerűen egyedül a szülő hozzájárulásával lehetséges. Előfordulhat, hogy a törvényes képviseleti jogot birtokló szülő nincs jelen egy helyzetben, és óvodapedagógus társaságában tartózkodik a gyerek közterületen. Ebben az esetben a pedagógus nem adhat engedélyt a gyerek lefotózására.
Bár a gyakorlatban nem jellemző, hogy engedély kellene rá - hiszen általában a belépőjegyek peremén közlik egy adott koncerten lehetséges felvételkészítés szabályozásait - a koncertek engedély nélküli felvétele szerzői jogokat is sérthet. Az ilyen eseteket kiküszöbölendő azonban életszerűtlen tennivalói lennének a felhasználóknak: a szervezőktől kellene előzetesen felhasználási szerződést kötnie velük.
Ha mindezt betartanák a felhasználók, a Tisza Párt szakemberei által elképzelt játék élvezhetetlenül nehézkes lenne. Hegyi ismeretei szerint hasonló probléma a kormánypárt adatkezelési gyakorlatát illetően nem merült eddig fel.
Mit tehet, aki érintett az ügyben?
Hegyit az adatszivárgással kapcsolatban eddig kevesen keresték meg. Ezt egyrészt azzal magyarázza, hogy az ügy még friss. A másik magyarázata az, hogy a Tisza Párt és a hatóságok gyors tájékoztatását elolvasva az érintettek mérlegeltek, és ráébredtek arra, hogy a jogorvoslat lehetősége szinte reménytelen.
A Tisza Párt azt javasolja, hogy az érintettek forduljanak az adatvédelmi hatósághoz és a rendőrséghez. Mint azt Hegyi mondja, "egyik sem képes reparálni az egyéni érdeksérelmet". A NAIH egy bírságot tud kiszabni a Tisza párttal szemben, a felhasználók érdeksérelmét azonban ez nem képes orvosolni, a rendőrség pedig egy büntetőeljárást tud lefolytatni, ami általában hosszú és sokszor eredménytelen folyamat. A probléma ebben az esetben szintén infrastrukturális: az adatok terjedését nem képesek megállítani, hiszen ehhez minden egyes olyan szerverparkot és merevlemezt ellenőrizni kellene, amelyen előfordulhatnak a sózban forgó adatok. Hegyi szerint erre egyik európai ország rendőrsége sem lenne képes.
A jogász azt mondja, hogy a mostani politikai botrány egyben jogi tanulópénz is. A Tisza Pártnak azért, mert nyilvánvalóvá vált, hogy az adatkezelési, és adatbiztonsági stratégiáit és protokolljait át kell gondolnia, az átlagos magyar felhasználóknak pedig azért, mert sokkal tudatosabban kell vigyázniuk az adataikra. Szerinte adatvédelmi szempontból alulinformáltak a magyarok, amiben sokat kell fejlődni, ami egyedül edukációtól remélhető.