[POL] Brutális adatszivárgás a Tisza pártnál

HUP cikkturkáló

Az indexen megjelent cikk szerint 16000 felhasználó személyes adatai kerültek ki a Tisza párt, Tisza Világ alkalmazásából a netre. Az adatbázisban,  regisztrált tagok neve, telefonszáma és anyja neve mellett a párton belüli pozíciókra utaló bejegyzések is megtalálhatóak.

Az adatbázis egyik adminisztrátoraként egy mobil alkalmazások fejlesztésére szakosodott ukrán cég  alkalmazottja volt megadva.

Popcornt bekészíteni...

Forrás:

https://index.hu/kulfold/2025/10/06/ukranok-fejleszthettek-a-tisza-part…

Update: Túlterheléses támadás érte az adatbázist publikáló weboldalt.

https://index.hu/belfold/2025/10/06/tisza-part-magyar-peter-applikacio-…

Update2: Ismét él az első cikkben szereplő anonpaste-s link.

"Target/domain: tiszasziget.hu /104.26.15.126/

Data gathering: 10/01/2025 02:55pm /GMT+2/ - 10/01/2025 04:40pm

Method: crawling, using stolen tokens/auth from public wifi networks

Using: built-in public functions of the web-application /tiszavilag.hu/

Gained information: personal data collected from all 26500 users of the application, from 1399 entities /islands/

Useful information sources: 18398 individuals /users/  The dump contains 200+ data types, including information of these important data types of the individuals:"

A sample file egy 273kB- os CSV txt.

Az oldal alján megtalálható a teljes, 3.4MB-os, File Type: application/vnd.ms-excel.

  • 956 megtekintés

( asch v | 2025. 10. 06., h – 12:57 )

Szerkesztve: 2025. 10. 06., h – 12:58

Kiváncsi vagyok rajta vagyok-e?

( st3v3 v | 2025. 10. 06., h – 13:11 )

🍿🍿🍿

Ez amúgy a dkplusz tiszás rebrandje?

A cikkben szereplő AnonPaste oldalon ott vannak az adatok. Név, e-mail cím, lakcím ... nem nehéz ellenőrizni, hogy valódiak-e.

Target/domain: tiszasziget.hu /104.26.15.126/

Data gathering: 10/01/2025 02:55pm /GMT+2/ - 10/01/2025 04:40pm

Method: crawling, using stolen tokens/auth from public wifi networks Using: built-in public functions of the web-application /tiszavilag.hu/

Gained information: personal data collected from all 26500 users of the application, from 1399 entities /islands/ Useful information sources: 18398 individuals /users/  The dump contains 200+ data types, including information of these important data types of the individuals:

trey @ gépház

A tiszasziget.hu egy magyarországi település honlapja, semmi köze a Tisza Párthoz

Rákerestem minden tisza-szimpatizáns ismerős nevére, senkit nem találtam meg, pedig közülük elég sok szigettag van, valaki pedig vezetője is egy szigetnek.

Nekik gondolom szerencséjük volt.

És a település weboldalának dump-jába hogy került bele:

A kiszivárgott információk között szerepelnek az applikáció hét adminjának adatai. Ők olyan személyek, akik hivatalosan is korlátlan hozzáféréssel rendelkeznek az alkalmazásban megtalálható adatokhoz. Egyikük nem más, mint Radnai Márk, a Tisza Párt alelnöke, aki az applikáció kifejlesztését koordinálta. Ő volt az, aki szeptemberben bemutatta a Tisza Világ alkalmazást a nyilvánosságnak. Radnainak most közzétették a telefonszámát és az e-mail-címét is,

trey @ gépház

    Rendkívül súlyos adatszivárgásra hívta fel a figyelmünket egy olvasónk, aki a Redditen találkozott egy linket tartalmazó bejegyzéssel, amely szerint valaki a Tisza Világ applikációból származó személyes adatokat töltött fel az internetre. A Redditről meglehetősen hamar törölték az erre vonatkozó bejegyzést, a link azonban továbbra is él, és az anonpaste.com oldalon azóta is megtalálhatók a tiszás felhasználók adatai. 

Nem tűnik hihetetlennek. Anno a dkplusz app kapcsán megnéztem én is, hogy milyen adatokat gyűjt (pl meglepődtem az IMEI-n: főleg, hogy sehol sem volt feltüntetve..), de csak egy saját regisztráció kapcsán a saját készülékről kimenő - bejövő adatokat nézegettem. A tiszás koppintás nem érte el -nálam- ezt az ingerküszöböt se, de simán lehet, hogy valaki másnál igen :).

Köszi, valóban nem néztem meg a cikket. Megnézve hitelesebb, bár én már lassan azt sem hiszem el, amit látok. Olyan dezinformálós hadjárat megy itt minden oldalon.

Neten rákeresve ezt dobta ki: https://www.reddit.com/r/hungary/comments/1nzd3c2/drága_indeksz_legaláb…

Nem látok rajta regisztrálási lehetőséget (akkor honnan vannak a visszaellenőrzött adatok?) és azt sem értem, hogy miért érdeklődne egy 1675 fős falu után 20K ember az ország minden területéről ... de majd elmondod, vagy a Reddit huszárok megfejtik :D

trey @ gépház

Nem látok rajta regisztrálási lehetőséget 

Miért lenne regisztrációs lehetőség egy kistelepülés önkormányzatának a weboldalán?

de majd elmondod, vagy a Reddit huszárok megfejtik :D

Fentebb már leírtam a tippem: valósak az adatok, de lófasz köze nincs ahhoz, ami a headerben van. Azt valaki begépelte a két kis kezével, és leszarta, hogy hülyeség a domain. Propinak jó lesz így is.

Miért lenne regisztrációs lehetőség egy kistelepülés önkormányzatának a weboldalán?

Ezért sem hinném, hogy onnan van.

Fentebb már leírtam a tippem: valósak az adatok, de lófasz köze nincs ahhoz, ami a headerben van.

🤷‍♂️

Propinak jó lesz így is.

Nem beszélem az budapesti újbeszélt. Propi? 

trey @ gépház

Az adatokból kb 1300 sor tűnik valósnak a többi csak szemét/teszt adatnak tűnik. Tippre felhasználták a júniusi disqus szivárgás adatait (ez tényleg sajnélatos volt), meg beletettek egy csomó szemetet, hogy soknak látszódjon. Ezen kívül még beleírtak egy ukrán admin-t aztán hajrá.

Kész is van az újabb lejáratókampány. Most hozni kell ezeket szinte naponta, mert nagyon megy a Zsolti bácsi. Sima túlkiabálás.

 

Ez az index cikk is "véleményes". 🤣🤣🤣

Rendezd azon dátum szerint emelkedő sorba, majd vesd össze ezzel az állítással:

A fejlesztést követően, de még a Tisza Világ indulása előtt a stabil működés biztosítására több uniós céggel együttműködve zajlott a tesztelés. Személyes adatot ekkor még nem tartalmazott az applikáció.

https://telex.hu/belfold/2025/10/06/tisza-part-applikacio-index

Már csak a fejlesztés tól-ig időtartamát + az éles indulás  kellene publikálniuk és összevetni az adatbázis dátum mezővel :).

Ha jól értem a publikus indulás 2025. szept. eleje?

Tehát azt megelőzően a párt saját bevallása szerint nem tartalmazott személyes adatot.

( lmarton | 2025. 10. 06., h – 15:28 )

⚙️ Formatting Issues / Discrepancies

  1. Delimiter mismatch

    • The CSV uses ; as the delimiter, not ,, so reading with default CSV settings fails.

  2. Inconsistent number of fields

    • Some rows have missing trailing semicolons or extra separators — causing Pandas’ error:

      
 

      ParserError: Expected 2 fields in line 25, saw 3

    • This means some lines have fewer or more columns than the header row. Likely due to:

      • Embedded semicolons inside text (not quoted)

      • Misaligned exports or manual edits

  3. Duplicate columns

    • The header includes duplicates:

      
 

      Custom:User:First:Name, Custom:User:FirstName Custom:User:Last:Name, Custom:User:LastName

      → Could cause confusion or overwriting when imported.

  4. Missing / malformed values

    • Many empty fields (;;) for optional information (e.g., coordinates, country).

    • Some cells contain unexpected compound data like "HU,Székesfehérvár" or "Budapest,HU" — inconsistent formatting of location fields.

  5. Data consistency

    • Some addresses appear incomplete or mismatched between “Home” and “Current” fields.

    • Lat and Lng sometimes duplicated or incorrect (e.g., identical values for both lat/lon).

    • Roles such as "ProjectMember", "Admin", "Island Creator" vary in case and spacing.

  6. Encoding

    • Includes UTF-8 BOM (\ufeff) — harmless but could break parsing in some software.