Újabb kormányzati oldalt törtek fel, kétezer ember személyes adatai szivárogtak ki

Egy hekker feltörte az Energiaügyi Minisztérium alá tartozó Nemzeti Klímavédelmi Hatóság (NKVH) egyik weboldalát, a Klímagáz Adatbázist, majd közzétette az oldalról megszerzett adatokat, köztük több mint kétezer ember adatait – tudta meg a Telex.

Az NKVH egyik feladata a fluortartalmú üvegházhatású gázokkal dolgozó vállalkozások felügyelete, ennek részeként üzemeltetik a Klímagáz Adatbázist, amelynek a létrehozását egy 2015-ös uniós rendelet írta elő. A hatóság ebben tartja nyilván az érintett cégeket és vonatkozó adataikat, tevékenységeiket, kibocsátási kvótájukat, kötelezően benyújtandó jelentéseiket.

Ez egy héten belül a második eset, hogy egy kormányzati aloldalt ért támadás: múlt pénteken az Igazságügyi Minisztérium alá tartozó fogyasztóvédelmi portál egyik aloldalát, a Jogsértést elkövető webáruházak adatbázisát törte fel valaki: az adatbázis helyett a hekker üzenete volt olvasható az oldalon, egy lobogó román zászló és egy letölthető adatbázisfájl kíséretében. Az oldalt akkor nem sokkal később az üzemeltető lelőtte, és e cikk írásakor sem érhető még el.

A Klímagáz Adatbázis esetében defacement, azaz az oldal tartalmának megváltoztatása nem történt, a hekker azonban kedd este közzétett a Telegramon egy linket, amelyről letölthető a feltört oldalról ellopott adatbázis, benne többek között személyes adatokkal. (A csatornát az onnan elérhető adatok miatt nem linkeljük.)

„sziasztok! most elhoztam nektek egy kis vicces SQL fájlt, mely a nemzetiklimavedelmihatosag.kormany.hu weboldalról lett letöltve. ^^ sajnos most nem sikerult a deface, es amugy kedves telex ne mondjatok hogy a deface a legprimitivebb dolog, hisz nem az mivel kormany oldalrol beszelunk bruh”

– írta a Telegram-bejegyzésben a hekker.

A Telexnek címzett üzenetével egyébként arra utalt, hogy a múlt heti hekkelésről – amelyet a jelek szerint ugyanő(k) hajtott(ak) végre – akkori cikkünkben azt írtuk, a magyarra elcsúfításnak vagy honlaprongálásnak fordítható támadási forma technikailag az egyik legprimitívebb, de az egyszerűsége és látványossága miatt kedvelt módszer. (A hekkerek az utóbbi időben valamiért egyébként szeretik a Telexet emlegetni az üzeneteikben: a múlt heti esetben is volt ilyen utalás a hekker által a feltört oldalra kiírt szövegben, ahogy a közoktatási KRÉTA, majd a felsőoktatási Neptun tanulmányi rendszer elleni tavaszi támadás esetében is megidézték lapunkat.)

Kétezer ember adatai is kiszivárogtak

A hekker által közzétett adatbázisban megtalálható többek között az érintett cégek neve, címe, a kibocsátási értékeik, az engedélyeik, a feltöltött jelentéseik (csak a fájlnevek, maguk a fájlok nem). Emellett azonban személyes adatok is szerepelnek benne: az érintett cégek kontaktszemélyének neve, titulusa, telefonszáma és emailcíme.

Gyorselemzésünk szerint 2061 egyedi emailcím található a kiszivárgott fájlban.

Ezeken felül 727 belépési adat, azaz felhasználónév–jelszó páros is szerepel benne, de a jelszavak nagyrészt kódolva vannak, tehát egy az egyben nem használhatók fel az adatbázisba való belépésre. (Azt, hogy milyen könnyen fejthetők vissza ezek a jelszavak, illetve hogy a ránézésre kódolatlanul tárolt néhány jelszó valóban az-e, nem volt egyértelműen megállapítható.)

Mivel a jelek szerint személyes adatok is kiszivárogtak, az adatkezelő, azaz ebben az esetben a Nemzeti Klímavédelmi Hatóság az uniós adatvédelmi rendelet (GDPR) értelmében köteles bejelenteni a történteket a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH). Minden érintettet – azaz több mint kétezer embert – is tájékoztatniuk kell, „ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”. (Ez alól vannak bizonyos kivételek, de azt már a NAIH hivatott eldönteni, hogy ezek bármelyike jelen esetben fennáll-e.)

Bár maga a GDPR indokolt esetben hírhedten magas bírságok kiszabását teszi lehetővé, a kormányzati szervek esetében ezt az Infotörvény korlátozza: ha a bírságot költségvetési szervre szabják ki, a mértéke százezertől húszmillió forintig terjedhet.

Ha csak írnék a rendszergazdának, nem lenne hatása

Cikkünk megjelenése előtt megkérdeztük a Nemzeti Klímavédelmi Hatóságot, hogy tudnak-e a történtekről, és ha igen, jelezték-e az adatszivárgást a NAIH-nak, értesítették-e az érintett felhasználókat, illetve tesznek-e feljelentést. A kormányzati rendszerek védelméért felelős Nemzeti Kibervédelmi Intézetet is megkerestük, hogy értesültek-e az esetről, megtalálták-e az oldal feltörését lehetővé tevő sérülékenységet vagy hiányosságot, illetve milyen lépéseket tesznek az oldal védelme érdekében. A NAIH-nak is írtunk, hogy érkezett-e hozzájuk incidensbejelentés az ügyben, és indokoltnak látják-e hatósági vizsgálat indítását. Ha bármelyik érintett érdemben reagál, beszámolunk róla.

Még a cikkünk megjelenése előtt reagált viszont a megkeresésünkre maga a hekker, akitől megkérdeztük, miért hajtja végre ezeket a támadásokat. Azt írta, így akarja demonstrálni a magyarországi rendszerek sérülékenységét. (Egyébként a KRÉTA közoktatási rendszer fejlesztőcégét meghekkelő egyik támadó is hasonló motivációról beszélt nekünk korábban.)

„A deface, ami történt, direkt volt, hisz ha nem lenne semmi, csak írnék a
rendszergazdának egy emailt: »Szia, feltörtem a rendszert xx módszerrel«,
akkor annak nem annyira lenne hatása :)”

– írta a hekker, hozzátéve, hogy azért persze emellett az is közrejátszik, hogy „unalomból csináljuk pár emberrel”. Egyik társa kérésére azt is elmondta, hogy a Mr. Robot című, 2019-ben véget ért hekkeres kultsorozat inspirálja őket.

Nem lehet mindent is megvédeni

Felmerülhet a kérdés, hogy hogyan lehetséges az, hogy egy héten belül már a második hasonló sikeres támadás történik kormányzati weboldalak ellen. Pláne, hogy egyébként is rendszeresek az ilyen hírek, elég csak arra gondolni, hogy a koronavírus-járvány alatt a kormány hatszor hivatkozott kibertámadásra kormányzati weboldalak elérhetetlenné válása után, és láttunk már egészen banális, könnyű prédát jelentő hibát kormányhivatalok weboldalán is.

Mindezt azonban érdemes kontextusba helyezni Kocsis Tamás kiberbiztonsági szakértő szerint: „A kiberbiztonságban jelentősen eltolódtak a határok a védelem felől a reagálás felé. Ennek oka, hogy az alacsony erőforrásokkal működtetett kibervédelem a jelenlegi fenyegetettségi szinten már nem tud mindent lefedni. És ne gondoljuk azt, hogy az »alacsony erőforrás« pejoratív – örülünk, hogy legalább van valamennyi erőforrás. Ez nemcsak a hazai kormányzatra, de a világ összes kormányzatára és vállalatára jellemző. Gondoljunk abba bele, hogy egy nagyvállalat a bevételekhez vagy a profithoz igazítja az IT-költségvetését, amelynek egy nagyon kis szeletét adja csak a kiberbiztonság. Persze, kormányzati szinten ez tűnhet így is óriási összegnek, azonban ebből kell a személyzetet, védelmi technológiákat, kiberbiztonsági folyamatokat és persze a fejlesztéseket finanszírozni.”

Érdemes megfigyelni, hogy ahogy a múlt heti esetben, ezúttal is egyes kisebb kormányzati szervekhez tartozó aloldalakat ért sikeres támadás. „A védelem priorizál, nem tud mindenre fókuszálni. Pontosan ezért növelték meg a szervezetek és vállalatok, így a hazai kormányzat is a reagálási képességet. Közhely, de igaz: kétféle szervezet létezik, amelyik szenvedett már el incidenst, és amelyik szenvedett már el incidenst, csak nem tud róla. Nem az a kérdés, hogy meg tudunk-e minden rendszert védeni, hanem az, hogy amikor bekövetkezik egy incidens, akkor milyen gyorsan tudunk reagálni, hogyan és mennyire tudjuk csillapítani az incidens jelentette kockázatokat” – mondta a szakértő a Telexnek.

„Véleményem szerint a Nemzeti Kibervédelmi Intézet reagálási képessége a lehetőségekhez képest jó. Ha csak megnézzük a legutóbbi hasonló eseményt (bár ott csak deface volt), akkor is gyorsan és szakszerűen jártak el. Események és incidensek mindig és minden pillanatban vannak.

Lehet azt számonkérni, hogy miért nem védi meg a kormányzat az összes hozzá tartozó rendszert, de ez irreális elvárás 2023-ban. A sajtóvisszhangot kapó eseményekre ezernyi, tízezernyi esemény jut, amelyet megakadályoznak, illetve amelyet megfelelően és időben kezelnek és felszámolnak”

– mondta Kocsis Tamás. „A kibervédelem legnagyobb problémája, hogy az év 365 napján és 0-24-ben sikeresnek kellene lennie, miközben a támadóknak elegendő csak egyszer betalálniuk. Lássuk be végre, hogy irreális elvárásokat senki nem tud teljesíteni” – tette hozzá.

Egyébként Frész Ferenc, a Cyber Services alapító-vezérigazgatója, aki 2014-ig maga is az állami kibervédelem irányítója volt, szintén a történtek pozitív oldalát emelte ki tavaly tavasszal, miután munkatársaival kormányhivatalok weboldalán talált tátongó biztonsági rést. Akkor a jelzésük után hatékony szakmai együttműködés kezdődött az állami szereplőkkel, és a gyors reagálásnak köszönhetően a hibát másnapra elhárították.

Frissítés (15:50): Cikkünk megjelenése után, csütörtök délután válaszolt a NAIH, eszerint a hatósághoz nem érkezett incidensbejelentés az esettel kapcsolatban. „Megjegyzendő, hogy az általános adatvédelmi rendelet (GDPR) 33. cikk (1) bekezdése az incidensek bejelentésére szolgáló határidővel kapcsolatban úgy fogalmaz, hogy azokat indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens az adatkezelő tudomására jutott, kell bejelenteni kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A Hatóság eljárás indításáról az említett határidő lejártát követően fog dönteni” – írta válaszában Péterfalvi Attila elnök.

Frissítés (aug 18): A Nemzeti Kibervédelmi Intézet is reagált: „A Nemzeti Klímavédelmi Hatóság az állami és önkormányzati rendszerek elektronikus információbiztonságáról szóló 2013. évi L. törvény alapján a Nemzeti Kibervédelmi Intézet ügyfélkörébe tartozik, jelentési kötelezettsége áll fenn informatikai incidens bekövetkezésekor. A Nemzeti Kibervédelmi Intézethez a bejelentés augusztus 16-án megérkezett. A vizsgálatok a honlap fejlesztőjének és üzemeltetőjének bevonásával folyamatban vannak. A további károk elkerülése érdekében az elsődleges intézkedések megtörténtek.” – írta a hatóság.