Több százezer magyar felhasználó személyes adatai szivároghattak ki a Kütyübazár oldaláról

Jelenleg is megvásárolhatóak a darkneten azok a magyar felhasználói adatok, amelyekről a feltöltőjük azt állítja, hogy a Kütyübazár nevű webáruháztól kerültek ki még júliusban – tudta meg a Telex az adatokba belefutó Fodor Dénestől, a White Hat IT Security nevű kiberbiztonsági cég kutatójától. A kiszivárgott adatok között az érintett felhasználók neve, emailcíme és lakcíme található.

A történteknek utánakeresve látható, hogy a szivárgás tényéről még júliusban beszámolt az Emailsec szakmai blogja, de ott egymillió érintett felhasználóról írtak. Fodor szerint valójában egymillió rendelés adatai kerültek ki, így ha valaki az érintett időszakban többször is rendelt a bolttól, akkor többször is szerepelnek az adatai a listán. A teljes kiszivárgott adatbázis nem publikus, mert a feltöltője pénzért árulja, így csak az ízelítőként publikált mintából lehet következtetni, ebben 6,67 százalékos az ismétlődő bejegyzések aránya. Ez alapján a szakértő arra tippel, hogy a teljes adathalmazban nagyjából 800–850 ezer egyedi rekord lehet, azaz nagyjából ennyi felhasználó lehet érintett.

Az Emailsec a bejegyzésében azt írja, hogy összevetette a mintában szereplő adatokat korábbi adatszivárgásokból származó adatokkal, és több egyezést is találtak, illetve a Facebookon is sikerült beazonosítaniuk egyes érintett felhasználókat. Ezek alapján arra jutottak, hogy a megvételre kínált adatcsomag valódi adatokat tartalmaz.

Mivel a kiszivárgott adatok között jelszavak nem szerepelnek, az érintett fiókokhoz közvetlenül nem férhettek hozzá a hekkerek. A személyes adatokat azonban így is felhasználhatják adathalász támadások célzásához kiberbűnözők, hogy így jussanak további érzékeny adatokhoz.

„A KütyüBazár 2010-ben indult útjára, azóta pedig hatalmas utat járt be. Mára egy hatalmas raktárból szolgálunk ki benneteket, vevőket, naponta több száz – olykor ezer – csomagot feladva. […] Büszkék vagyunk rá, hogy 2020-ban immár hetedik alkalommal nyertük meg az Ország Boltja versenyt Ajándékozás kategóriában. […] Küldetésünk, hogy elérhető közelségbe hozzuk számotokra a nagyvilág legújabb, legérdekesebb és legizgalmasabb Kütyüit” – olvasható az oldalon.

Kérdéseinkkel megkerestük a Kütyübazárt. Azt kérdeztük a cégtől, hogy meg tudják-e erősíteni, hogy adatszivárgás történt náluk; ha igen, az hogyan történt, milyen módon kerültek ki az adatok; tettek-e valamilyen lépést a szivárgáshoz vezető hiba vagy mulasztás orvosolására; pontosan hány ügyfelük érintett; értesítették-e az érintetteket; illetve tettek-e bejelentést az incidensről a Nemzeti Adatvédelmi és Információszabadság Hatóságnál. Cikkünk megjelenéséig nem érkezett válasz.

FRISSÍTÉS: A Kütyübazár ügyvezetője megerősítette, hogy valóban megtörtént az incidens, megtették a rendőrségi feljelentést, értesítették a NAIH-t, és az adatszivárgásban érintett felhasználókat is. Azt írták, a támadó egy munkatársuk jelszavát megszerezve jutott be illetéktelenül a rendszerükbe, és a megszerzett adatok „túlnyomó többsége tesztelési célú vagy robot feliratkozó által generált, hamis adat volt”. A cég szerint a valós felhasználók száma az ellopott adatbázisban a rendőrségi nyomozás jelen szakasza szerint 221 fő lehet.