Japán nyelvvizsgára jelentkezett? Minden személyes adata kiszivárgott

A jelentkezési honlap hibája miatt a JLPT nemzetközi japán nyelvvizsgára jelentkezők összes személyes adata kiszivárgott. Mivel a hiba a honlap indulása óta, azaz több mint két éven át fennállt, mindenki érintett, aki ebben az időszakban jelentkezett. Ráadásul a probléma felismerése után csak három nappal kapcsolták le a rendszert augusztus végén – derül ki abból a levélből, amelyet a vizsgát menedzselő Károli Gáspár Református Egyetem küldött az érintetteknek, és több olvasónktól is megkaptunk.

A JLPT (Japanese-Language Proficiency Test) az egyetlen, nemzetközileg elismert japán nyelvvizsga, ezért ezen a téren gyakorlatilag megkerülhetetlen: aki tanulni vagy dolgozni szeretne bárhol a világban, ahol japán nyelvvizsgát várnak el, attól a JLPT-t fogják kérni. A félévente, minden országban egyszerre, egységes rendszerben megtartott nyelvvizsgált a Japán Alapítvány szervezi, és itthon a Károli Egyetem bonyolítja le.

„Tisztelt Hölgyem/Uram! A Károli Gáspár Református Egyetem, mint a japán nyelvű nyelvvizsgákat szervező Japán Alapítvány adatfeldolgozója ezúton tájékoztatja, hogy a nyelvvizsga-jelentkezésre szolgáló https://jlp10000.megacp.hu weboldal hibás működése miatt adatvédelmi incidenst tapasztaltunk, amelyről ezúton nyújtunk tájékoztatást” – kezdődik az egyetem levele, amelyből kiderül, hogy ez a bizonyos hiba a honlap üzemeltetésének kezdetekor, azaz 2022. július 20. óta már fennállt, és egészen idén augusztus 29-ig úgy is mardt, amikor az egyetem leállította a jelentkezési rendszert.

A levél szerint a hiba miatt az érintettek szinte minden személyes adata jogosulatlanul hozzáférhetővé vált, így

• a vizsgabizonylaton megadott név, nem, születési idő és képmás (fénykép); illetve
• a jelentkezési lapon megadott név, nem, születési dátum, születési hely, anyanyelv, lakcím, telefonszám, emailcím és a jelentkezéskor megadott válaszok egy rövid kérdőívre (mi a foglalkozása, hol tanult japánul, vizsgázott-e már korábban, és ha igen, milyen szintű vizsgát próbált letenni, eredményes volt-e).

„Tájékoztatjuk, hogy az incidens bejelentésre kerül a Nemzeti Adatvédelmi és Információszabadság Hatóság részére” – írta az érintetteknek az egyetem. A levélből nem derül ki, hogy ők hányan lehetnek, de mivel a honlap 2022. júliusban indult, és a vizsgát félévente rendezik, és öt szinten lehet letenni, az idén decemberben tartandó alkalommal együtt összesen öt vizsgaidőpont öt kategóriájának jelentkezőinek adatai szivároghattak ki.

Érdekesség, hogy magáról az incidensről a levél szerint már augusztus 26-án értesültek, tehát három nap telt el, mire lekapcsolták a rendszert. Az oldal egyébként cikkünk írásakor sem működik, a rajta olvasható üzenet szerint karbantartás miatt. Az augusztus végi lekapcsolás óta azonban biztosan volt olyan, hogy elérhető volt: ahogy az Internet Archive adatbázisában látszik szeptember 18-án biztosan működött. Ekkor azt írták, hogy az eredetileg augusztus 30-ig tartó jelentkezési időszak „váratlan technikai hiba miatt akadályozva volt két napig”, szeptember 1. éjfélig meghosszabbítják. A váratlan technikai hiba időben egybeesik az adatvédelmi incidens miatti lekapcsolással.

A történtekről beszámolói olvasóink többen is azt kifogásolták, hogy az idézett email szűkszavú tényismertetése mellett semmiféle bocsánatkérést nem kaptak amiatt, hogy akár éveken át több érzékeny személyes adatuk, köztük a képmásuk is illetéktelenül hozzáférhető volt.

Kerestük az ügyben a Károli Egyetemet mint adatfeldolgozót. Azt kérdeztük, hogy milyen jellegű hiba okozta az incidenst; hogyan derült rá fény; hányan érintettek; miért csak három nappal az incidens bekövetkeztének kiderülése után állt le a rendszer; van-e konkrét tudomásuk arról, hogy ténylegesen harmadik félhez kerültek a jogosulatlanul hozzáférhető adatok; és lehet-e már tudni, mikor lesz újra elérhető az oldal.

„Megkeresése alapján tájékoztatom, hogy az ügy belső kivizsgálása még folyamatban van, a hatályos jogszabályok szerint megtettük a szükséges bejelentéseket, jelenleg NAIH vizsgálat van folyamatban az ügyben. Jelenlegi ismereteink szerint valószínűleg csak a bejelentő fért hozzá a személyes adatokhoz.”

A Japán Alapítványt is kerestük az ügyben, tőlük cikkünk megjelenése után azt a választ kaptuk, hogy ők október 10-én értesültek az incidensről, ekkor vették fel a kapcsolatot az egyetemmel. „Sajnos még nem kaptunk pontos információt az egyetemtől az incidenssel és a rendszerrel kapcsolatban, például az incidens részleteiről, a történtekről, az érintettek számáról. A fenti okokból kifolyólag nem áll módunkban több információval szolgálni a kérdéseivel kapcsolatban” – tették hozzá.

Frissítés: Cikkünket frissítettük a Japán Alapítvány válaszával.