Kiszivárogtak a Megafon képzéseire jelentkezők adatai, fideszes polgármesterek is vannak köztük

„Győzelemre akarom segíteni a polgármestert a 2024-es önkormányzati választáson” – írta Budakeszi város fideszes önkormányzatának sajtófőnöke, aki mellesleg saját bevallása szerint a közmédiánál is dolgozik.

„A cél egyszerű: 2024-ben győzni szeretnénk a FIDESZ-KDNP képviselőivel” – írta egy fővárosi kerület fideszes képviselői Facebook-oldalainak kezelője.

„Szeretnék kifejezetten a videókészítésre koncentrálva fejlődni. […] A vármegyei munkámat, ezáltal elnök urunkat is tudná segíteni, ha felkészültebb lennék ezen a téren” – írta egy Fejér vármegyei független önkormányzati képviselő a közgyűlés fideszes elnökére utalva.

Ami közös bennük: mindannyian jelentkeztek a Megafon kormányközeli influenszerképző valamelyik képzésére, a fenti idézetek pedig a jelentkezésükből származnak. Ezt onnan tudjuk, hogy a jelentkezők adatbázisára egy informatikai hiba miatt egy egyszerű Google-kereséssel bárki rátalálhatott.

Cikkünk írása előtt természetesen jeleztük a hibát a Megafonnak, és megvártuk, amíg az adatok elérhetetlenné válnak. Bár válaszra azóta se méltatták a levelünket, nem sokkal az email után a véletlenül közzétett adatbázisok elérhetőségét megszüntették, majd a teljes oldalukat lekapcsolták. Másnapra a Google keresési találatai közül is eltűntek a véletlenül nyilvánossá tett linkek.

Előtte viszont azért megnéztük, kik jelentkeztek a Megafon ingyenes képzéseire, amelyekhez akár közpénzt is felhasználhattak. Több érdekességet is találtunk: számos aktív kormánypárti politikus, illetve politikusnak dolgozó beosztott tűnik fel a listán, köztük polgármesterek, képviselők, politikusi Facebook-oldalak kezelői, de még egy magas szintű kormánytag felesége is. Fény derült arra is, hogy fideszes önkormányzati képviselők vagy munkatársaik állnak egy-egy nagy elérésű kormánybarát facebookos mémoldal mögött. A cikkben jogi okokból csak azokat az érintetteket nevezzük meg, akik politikusként vagy állami, önkormányzati tisztviselőként közszereplőnek minősülnek, a többi érintettről nem írunk le olyasmit, ami alapján beazonosíthatóak lennének.

A Megafon oldala még cikkünk megjelenésekor sem működik, ami komolyabb informatikai problémára utalhat, mint amit elsőre valószínűsíteni lehetett. A történtek adatvédelmi kérdéseket is felvetnek, például hogy a Megafon bejelentette-e a történteket az adatvédelmi hatóságnak, illetve értesítette-e az érintetteket.

Betekintés a nehéz súlyú kormánypropaganda műhelyébe

Nem öncélú szórakozásként nézegettük a megafonos képzésekre jelentkezők listáját, hiszen a szervezet tevékenysége abszolút közügy. A 2019-es önkormányzati választás után pár hónappal alapított Megafon ma a kormányzati üzeneteket közvetítő online propagandagépezet legfontosabb fogaskereke. „Legyél te is jobboldali digitális szabadságharcos! A Megafont azért hoztuk létre, hogy felerősítsük a jobboldal hangját és ellensúlyozzuk a balliberális mainstream uralmát a neten” – olvasható annak a szervezetnek a honlapján, amely 2022-ben tízmilliós nagyságrendben költött a nemzeti konzultáció népszerűsítésére, a 2022-es országgyűlési választások előtt pedig Szijjártó Péter külügyminiszter részvételével tartott kampányrendezvényt.

A Megafon mögött álló cég, a Megafon Digitális Inkubátor Központ Nonprofit Kft., tulajdonos-ügyvezetője Kovács István, az Alapjogokért Központ stratégiai igazgatója. A cég három év alatt több mint ötmilliárd forint támogatást kapott, a facebookos reklámköltése pedig már a másfél milliárd forinthoz közelít. Csak tavaly decemberben 15 millió forintot költöttek a képzéseikre toborzó hirdetésekre. Az egyik legismertebb megafonos, Filep Dávid azóta megszűnt cégével együtt tavaly többet költöttek facebookos politikai hirdetésre, mint Portugália. A szervezet nem csak a Facebookon aktív: tavaly tavasszal európai viszonylatban is a megelőző év legdrágább politikai YouTube-kampányát futtatták le a „háborúpárti baloldalról”. A Telex ellen indított perek során pedig a bíróság kimondta, hogy „valós tényekből levont okszerű következtetés”, hogy a Megafonba akár közpénz is juthatott.

Egy éve videóban is bemutattuk a Megafon történetét:

A Megafon az oldal lelövéséről egy közleményt is kiadott a Facebook-oldalukon, de ebből a lehető legkevesebb derül csak ki a történtekről, személyes adatok kiszivárgására pedig utalás sincs: „A Megafon honlapján informatikai hiba következtében ideiglenesen olyan felületek váltak elérhetővé, amelyek a honlap adminisztrátorai számára lettek létrehozva. Az informatikai hibát jelenleg hárítjuk, addig honlapunk elérhetetlen lesz.”

A közlemény alatti hozzászólásokban többen felvetették egy ellenzéki hekkertámadás eshetőségét, de a leállás oka jóval prózaibb: egy olvasónk jelezte nekünk néhány napja, hogy amikor egy konkrét emberről keresgélt információt a neten, a keresési találatok között belefutott a Megafon egyik képzésére jelentkezők listájába, amelyen az illető neve is szerepelt.

Ezután már célzott kereséssel néztük meg, található-e még hasonló lista az oldalon, és összesen négy nyilvánosan elérhető, a Google keresője által is látható adatbázist találtunk. Ahogy a képen is látszik, még csak kattintani sem kellett ahhoz, hogy személyes adatokba botoljon az ember, már a találati listában megjelent néhány név, emailcím és telefonszám (amelyeket most természetesen kitakartunk):

Az adatbázisokban szereplő, legkorábban létrehozott bejegyzés tavaly júliusi, de a legtöbb őszi, a legújabb pedig néhány nappal ezelőtti, azaz aktívan frissített adatbázisokról lehet szó. Azt nem tudjuk, mennyi ideig voltak szabadon hozzáférhetők az adatok, a Google legutóbbi gyorsítótárazott, azaz ideiglenesen mentett verziója múlt szombati, tehát akkor már biztosan.

A véletlenül közzétett adatbázisokban a jelentkezők neve, emailcíme, telefonszáma és az általuk kezelt közösségi felületek találhatók meg, illetve a jelentkezéskor általuk írt szöveg arról, mi a céljuk a közösségi médiában, és mi motiválta őket a jelentkezésre – ez utóbbiról videót is fel lehetett tölteni.

A Megafon honlapja szerint többféle képzést is tartanak: az alapképzések után speciális továbbképzésekre is lehet jelentkezni, majd mentorprogram is segíti a véleményvezérré válást. Az általunk látott listák valószínűleg a továbbképzések jelentkezőit tartalmazzák, mert több jelentkező is utalt a korábban már elvégzett alapképzésre, illetve azokra a képességekre, amelyeket a továbbképzésen el szeretnének sajátítani.

A négy lista az adott képzést tartó megafonos nevén futott. A Matuka Zoltán nevével fémjelzett képzésből 31 jelentkező adatai voltak nyilvánosak, Lénárd Péteréből 26, Filep Dávidéból 12, Dávid Bencénél pedig egy név szerepelt. (Filep Dávid ismertebb neve A kopasz oszt; a korábban a Petőfi Kulturális Ügynökségnél, a Közigazgatási és Igazságügyi Minisztériumnál és a Miniszterelnöki Kabinetirodánál is megfordult Lénárdról pedig a Lakmusz írt korábban.)

Az ismétlődéseket, újrajelentkezéseket kiszűrve az adatszivárgásban összesen 53 ember érintett.

Polgármesterek, propagandaoldalak kezelői is a jelentkezők között

Az érintettek között sok magánember is található, de cikkünk szempontjából csak azok érdekesek, akik közvetlenül kapcsolódnak a politikához. Ilyenből egészen nagy a merítés.

A listán szerepel többek között

• két aktív polgármester: Farkas András (Piliscsaba, egyben a KDNP országos elnökségi tagja), dr. Győri Ottilia (Budakeszi);
• három alpolgármester: Katus Norbert (Sülysáp), Füzesi Péter (XVII. kerület), Szepesfalvy Anna (XXII. kerület, egyben az önkormányzat kommunikációs vezetője);
• három további önkormányzati képviselő: Bajusz Gábor (Miskolc), Kovács Áron (Veszprém), Bajusz Dániel (Isaszeg, egyben a helyi Fidesz vezetője és polgármesterjelöltje); és
• egy vármegyei önkormányzat független képviselője: Szili Csaba Gergely (Fejér)

Azaz a hivatalosan civil Megafon akár közpénzből is szervezett képzésein legalább nyolc aktív kormánypárti képviselő kap ingyenes képzést arról, hogyan tudja hatékonyan terjeszteni a kormány vagy a kormánypárti önkormányzatok üzeneteit, ellensúlyozandó „a balliberális mainstream uralmát a neten”. Mindez persze kevéssé meglepő annak fényében, hogy volt már példa arra is, hogy fideszes politikus állt át megafonos influenszernek.

Rajtuk kívül is találni még olyan „digitális szabadságharcosokat”, akik közvetlenül a Fidesznek dolgoznak:

• Budakeszi fideszes önkormányzatának sajtófőnöke, Sükösd Levente, aki bemutatkozása szerint évtizedek óta dolgozik a közmédiában is szerkesztő-műsorvezetőként (ami már a megafonos képzést leszámítva is felveti összeférhetetlenség gyanúját), de a Mediaworkshöz tartozó HírFM-en is hallható műsora;
• egy fideszes országgyűlési képviselő munkatársa, illetve egy másik Facebook-oldalának kezelője;
• több fideszes önkormányzat és helyi képviselők, polgármesterek Facebook-oldalának kezelői;
• egy egyéni választókerület fideszes körzetfelelőse, aki képviselőjelöltnek készül, és egy polgármesterjelöltnek készülő jelentkező.

Érdemes külön is kiemelni Kovács Áron veszprémi önkormányzati képviselőt, aki a jelentkezésében azt írja: „választókerületünkben az én feladatom a szembesítő oldal üzemeltetése”. Ez a bizonyos oldal az Igazmondó Bakonyi Betyár, egy elvileg helyi ügyekben utazó, de a bejegyzéseit végigpörgetve inkább az általános kormánypropagandát mémekben és egymondatos üzenetekben közvetítő oldal, amely alacsony követői létszáma ellenére a 2022-es választási kampányban elhirdetett 300-400 ezer forintot. De több másik jelentkező, köztük fideszes képviselők munkatársai is említenek „szembesítő”, azaz feltehetően lejáratásra használt Facebook-oldalakat általuk kezelt közösségi felületként.

További érdekességek a jelentkezők listáiról: ott van egy közel 140 ezer követős kormánybarát Facebook-oldal adminisztrátora, helyi kormánybarát Facebook-csoportok adminisztrátorai, nem hivatalos kormánypárti helyi híroldalak összeállítói, illetve egy magas rangú kormánytag felesége. De még egy igazi aposztrófos doktor is feltűnik köztük.

Meg kell nyernem magamnak és a Fidesznek a várost!

A listákon feltűnő jelentkezők táborára az általuk kezelt közösségi oldalakat elnézve, illetve a jelentkezésük szövegét olvasgatva kettősség jellemző. Egyrészt megtalálhatók a kimondott kormánypropagandát nem túl kifinomult eszközökkel, de annál elhivatottabban toló szabadságharcosok; másrészt olyanok is, akik jóval visszafogottabban használják a Facebookot, és az értékelhető tartalommal bíró közösségi kommunikációjuk felturbózásához szeretnének új képességeket elsajátítani.

Vannak, akik kifejezett célként jelölik meg, hogy választást akarnak nyerni, illetve a munkaadójukat, esetleg eltökélt szimpatizánsként a kormánypárti jelöltet a győzelemhez hozzásegíteni (az idézetekből a konkrét neveket töröltük):

„Polgármester jelöltként indulok a 2024-es helyhatósági választásokon. Célom egy nyertes választási eredmény. Ehhez a jobboldali szavazók mellett a bizonytalanokat és a politikailag érdekteleneket is meg kell szólítanom.”

„Meg kell nyernem magamnak és a Fidesznek [vidéki város]-t!”

„A cél egyszerű: 2024-ben győzni szeretnénk a FIDESZ-KDNP képviselőivel [település]-en.”

„Győzelemre akarom segíteni a [városi] polgármestert a 2024-es önkormányzati választáson.”

„Polgármester-jelölt leszek és szeretném a saját videóimat gyorsan magamnak készíteni.”

„Szeretnék kifejezetten a videókészítésre koncentrálva fejlődni. […] a vármegyei munkámat, ezáltal elnök urunkat is tudná segíteni, ha felkészültebb lennék ezen a téren.”

„Kisöpörni [településről] Gyurcsány Ferenc elvbarátait!”

„A város, ahol lakom, megérdemli, hogy végre jobboldali vezetői legyenek. Most esélyesebb a váltás, mint eddig bármikor.”

Velük átfedést mutatnak a kultúrmissziót folytatók:

„A hazám kultúráját, közösségét és az anyanyelvemet szeretem. A következőkben saját videóimmal a konzervatív-polgári-keresztyén értékrendet szeretném erősíteni, támogatni.”

„Elsősorban azok a témák érdekelnek, ahol a hazaszeretetet a kereszténységgel összekapcsolva tudom megjeleníteni.”

„Szeretnék visszaadni a jobboldali fiatal közösségnek és buzdítani őket, hogy ők is ezt tegyék.”

„A kisvárosi emberekhez még mindig túlsúlyban jutnak el a helyi balos álhírek. Én feltárom az igazságot. Röviden: »Bozótharc«.”

Vannak, akiknél a képességeik fejlesztésének igénye hangsúlyosabb a konkrét kampányra készülődésnél:

„Közszereplőként és az önkormányzat kommunikációs vezetőjeként sok videós anyag létrejöttében veszek részt, forgatókönyvírás, a produkció menedzselése, de szükségesnek tartom a videó készítés gyakorlati oldalával is megismerkeni.”

„Azért szeretnék videokat készíteni, mert egyre nagyobb a kihívás a közösségi felületeken, fejlődnünk kell. A videókon már nem elég csak a mondanivaló, szükség van jó vágásokra, feliratozásra és számos egyéb dologra, amivel megragadhatjuk a figyelmet. A négy napos képzés során szembesültem vele, hogy sok gyakorlásra van még szükségem, remélem itt az alapokat megértem, kicsit kigyakorolhatom.”

„Közszereplőként szeretnék minél több emberhez minél hatékonyabban eljutni.”

És akadnak egészen egyéni motivációjú jelentkezők is:

„Legközelebbi célom, hogy végre akadjon le rólam az a cukorhegyi, meg a liberált bandája!!”

„Akik velem tartanak tájékoztatása, vélemény elmondása, gőz levezetés”

„Videóhoz, képi megjelenítéshez olyan hülye vagyok, hogy a fal adja a másikat, ezért talán nem ártana némileg tanulni ilyesmit. Nagyjából ennyi.”

Ironikus módon az egyik jelentkező a jelentkezésében megjegyzi: „Nyomós okom van az anonimitásra” – az ő helyében most nem lennénk.

Nem leszek Deák Dániel, nem erre bíztak meg a választók

Természetesen a kiszivárgott személyes adatokat, így a telefonszámokat sem használtuk fel, de a listákon megtalálható közszereplők némelyikét sikerült elérnünk más forrásból ismert elérhetőségükön.

Farkas András KDNP-s polgármesterként tíz éve vezeti Piliscsabát, és tagja a KDNP országos elnökségének is. A Megafon decemberi buliján Kubatov Gáborral, a Fidesz pártigazgatójával osztott meg szelfit a Facebook-oldalán. Lapunknak megerősítette, hogy elvégezte a Megafon képzését, ahol a közösségi média működéséről tanultak. „Polgármesterként én alapvetően arra használom a közösségi médiát, hogy a saját munkámról kommunikáljak, és korszerű módon tudjam elérni a lakosságot” – mondta.

Megkérdeztük, hogy nem tartja-e problémásnak, hogy a működéséhez feltételezhetően közpénzt is felhasználó Megafon ingyenes képzése segíti a közelgő választási kampányát. A politikus erre úgy reagált, hogy egyrészt nem vizsgálta a Megafon pénzügyi hátterét, másrészt szó sincs kampányról. Állítása szerint Facebook-oldalán csak helyi, közérdekű információkat oszt meg a piliscsabaiakkal, ráadásul még nem döntött arról, hogy a júniusi önkormányzati választáson ismét megméretteti-e magát polgármesterjelöltként.

Katus Norbert sülysápi fideszes alpolgármester szeretné fejleszteni a Facebook-posztjai képi és tartalmi minőségét, ezért jelentkezett a Megafon képzésére. „Nem leszek Deák Dániel, mert nem ez a dolgom, engem nem erre bíztak meg a választók” – válaszolta a Telexnek, amikor arról kérdeztük, hogy a képzés után változtat-e a közösségi oldala tartalmán.

„Én egy vállaltan jobboldali, Fidesz-KDNP-s helyi politikus vagyok, de az oldalam a bizonyíték arra, hogy elsősorban a helyi közösségnek kommunikálok, és nem pártpolitikai ügyekről írok.”

Arról is beszélt hogy 2008 környékén, az MSZP kormányzása alatt is részt vett egy ingyenes újságíróképzésen. Akkor és most is azt igyekezett megtanulni, hogy önkormányzati képviselőként miként tudna jobb minőségben és hatékonyabban kommunikálni a helyi közösségnek a települési ügyekről. Ennek sikerességét igazolja szerinte, hogy 2006 óta minden választáson bejutott a sülysápi képviselő-testületbe.

Részt vett a Megafon képzésén Budakeszi fideszes polgármestere, dr. Győri Ottilia is, aki korábban Varga Judit volt igazságügyi miniszterrel szerepelt közös képen a Megafon egyik rendezvényén. A polgármestert telefonon értük utol, de amikor meghallotta, hogy milyen ügyben keressük, csak annyit mondott, telefonálnia kell egyet, és később visszahív. Ez cikkünk megjelenéséig nem történt meg. Ugyancsak visszahívást ígért Bajusz Gábor, Miskolc fideszes önkormányzati képviselője is, aki Facebook-oldala szerint részt vett a Fidesz novemberi kongresszusán is. Ő arra hivatkozott, hogy meg kell néznie a képzési szerződést, mielőtt nyilatkozna.

Bírságot is érhet a szivárgás

Kívülről nem tudható, hogy pontosan milyen hiba vezetett a jelentkezők adatainak kiszivárgásához, de az biztos, hogy súlyos és alapvető informatikai mulasztás. „Az, hogy a Google ne lássa az adatbázisokat, kábé egy sor lenne a kódban. Ennél kicsit többet kellene tenni, hogy a személyes adatokat ne olvashassa az egész világ, de egy egyszerű htaccess-jelszó már elég lehet” – mondta egy általunk megkérdezett programozó. Az, hogy a hiba napvilágra kerülése után az egész oldalt lelőtték, és napok óta elérhetetlen, szerinte mélyebben gyökerező problémára utalhat.

Az adatkezelési tájékoztatóban kerestük, hogy ki lehet felelős az adatszivárgással érintett rendszer üzemeltetéséért, de ott ezt nem közli a Megafon, csak ennyi derül ki: „Az Adatkezelő honlapjának (www.megafon.hu) üzemeltetőjét, és az informatikai rendszerének működtetéséért felelős vállalkozót (rendszergazda) veszi igénybe adatfeldolgozóként.”

Mindenesetre a Megafon, illetve az adatkezelőnek számító Megafon Digitális Inkubátor Központ Nonprofit Kft. a jelentkezők által is elfogadott adatkezelési tájékoztatójában azt írja: „Az adatkezelési tevékenység során minden észszerű intézkedést megtesz az Adatkezelő annak érdekében, hogy az általa kezelt adatok illetéktelenek számára ne legyenek hozzáférhetőek.” Ez itt nyilvánvalóan nem történt meg, így adatvédelmi incidens történhetett, amelyre az európai általános adatvédelmi rendelet, a GDPR előírásai vonatkoznak.

A GDPR hatálya alatt hírhedten magas bírságokra lehet számítani, de azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) mérlegeli, hogy indokoltnak látja-e bírság kiszabását, és ha igen, milyen nagyságrendben. „A bírság kiszámításakor számít az árbevétel, a jogsértés jellege és mértéke (hány személy, mennyi és milyen jellegű adat érintett, mennyi ideig állt fenn a jogsértés) és azok az intézkedések, amelyeket az adatkezelő a jogsértéssel okozott sérelem csökkentése érdekében tett a múltban vagy tesz a hatósági vizsgálat során” – mondta kérdésünkre Ivanics Krisztina adatvédelmi szakértő.

„Az egyik első hazai GDPR-bírságos ügy pont az volt, hogy a DK pártolóinak adatbázisához hozzáfért valaki. Akkor a bírság 11 millió volt, de még nagyon az elején tartottunk, azért ma már sokkal magasabb bírságtételekkel is találkozhatunk” – idézte fel. A DK 2018 augusztusában értesült arról, hogy egy sérülékenység, illetve egy azt kihasználó hekker miatt bárki hozzáférhetett egy adatbázishoz és abban a párt szimpatizánsainak adataihoz. Név, felhasználónév, emailcím, titkosított jelszó vált elérhetővé, több mint 11 ezer felhasználó volt legalább részben érintett. (A NAIH 2019-ben szabta ki a bírságot, de az a párt fellebbezése miatt csak 2020 augusztusában vált jogerőssé).

Fontos különbség, hogy a DK ügyében szerepet játszott egy hekker, aki miatt az adatokhoz aztán bárki könnyedén hozzáférhetett, a Megafon esetében viszont – tudomásunk szerint – nem történt külső beavatkozás, enélkül váltak a személyes adatok minimális számítógépes ismerettel, sőt mint olvasónk esetében történt, akár véletlenül is megismerhetővé. Továbbá a Megafon esetében jóval kevesebb emberről van szó, viszont több adatról, mert a név és az emailcím mellett telefonszám is hozzáférhető volt, illetve az érintettek által saját magukról készített motivációs levél vagy bizonyos esetekben videó is.

„A Megafon-képzésre jelentkezés, ugyanúgy, mint a DK-pártoló tagság, politikai irányultságot jelez, ezért különleges adatnak minősül, amely felhasználására szigorúbb szabályok vonatkoznak, egyszerűen mondva illik a »sima« adatnál jobban vigyázni rá”

– mondta a szakértő.

A bírságot azonban a DK sem magáért az incidensért kapta, hanem azért, mert nem jelentették be az incidenst a hatóságnak. A GDPR értelmében ugyanis az adatkezelő „indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve”.

A DK 2018-as ügye ebben is adhat támpontot, akkor a NAIH úgy ítélte meg, hogy az adatok hozzáférhetősége azok politikai vonatkozása miatt az érintettekre nézve magas kockázattal járt, ezért vonatkozott az incidensre a bejelentési kötelezettség. Az általunk megkérdezett szakértő szerint az érintett magánszemélyek értesítése csak akkor kötelező, ha a történtek feltárása arra jut, hogy súlyos incidens történt. Ahhoz azonban ismerni kellene a megafonos eset összes körülményét, hogy erről biztosabbat lehessen mondani.

Az adatok és a honlap elérhetetlenné tétele után kérdéseket küldtünk a Megafonnak. Azt szerettük volna megtudni, milyen hiba okozta az adatok kikerülését; várhatóan mikor áll helyre az oldal; ki fejlesztette és ki üzemelteti az oldalt és az érintett háttérrendszereket; és értesítettétek-e az érintetteket, illetve az adatvédelmi hatóságot. Cikkünk megjelenéséig nem reagáltak, de ha kapunk érdemi választ, beszámolunk róla.