[POL] Brutális adatszivárgás a Tisza pártnál

HUP cikkturkáló

Az indexen megjelent cikk szerint 16000 felhasználó személyes adatai kerültek ki a Tisza párt, Tisza Világ alkalmazásából a netre. Az adatbázisban,  regisztrált tagok neve, telefonszáma és anyja neve mellett a párton belüli pozíciókra utaló bejegyzések is megtalálhatóak.

Az adatbázis egyik adminisztrátoraként egy mobil alkalmazások fejlesztésére szakosodott ukrán cég  alkalmazottja volt megadva.

Popcornt bekészíteni...

Forrás:

https://index.hu/kulfold/2025/10/06/ukranok-fejleszthettek-a-tisza-part…

Update: Túlterheléses támadás érte az adatbázist publikáló weboldalt.

https://index.hu/belfold/2025/10/06/tisza-part-magyar-peter-applikacio-…

Update2: Ismét él az első cikkben szereplő anonpaste-s link.

"Target/domain: tiszasziget.hu /104.26.15.126/

Data gathering: 10/01/2025 02:55pm /GMT+2/ - 10/01/2025 04:40pm

Method: crawling, using stolen tokens/auth from public wifi networks

Using: built-in public functions of the web-application /tiszavilag.hu/

Gained information: personal data collected from all 26500 users of the application, from 1399 entities /islands/

Useful information sources: 18398 individuals /users/  The dump contains 200+ data types, including information of these important data types of the individuals:"

A sample file egy 273kB- os CSV txt.

Az oldal alján megtalálható a teljes, 3.4MB-os, File Type: application/vnd.ms-excel.

  • 1375 megtekintés

( asch v | 2025. 10. 06., h – 12:57 )

Szerkesztve: 2025. 10. 06., h – 12:58

Kiváncsi vagyok rajta vagyok-e?

( st3v3 v | 2025. 10. 06., h – 13:11 )

🍿🍿🍿

Ez amúgy a dkplusz tiszás rebrandje?

A cikkben szereplő AnonPaste oldalon ott vannak az adatok. Név, e-mail cím, lakcím ... nem nehéz ellenőrizni, hogy valódiak-e.

Target/domain: tiszasziget.hu /104.26.15.126/

Data gathering: 10/01/2025 02:55pm /GMT+2/ - 10/01/2025 04:40pm

Method: crawling, using stolen tokens/auth from public wifi networks Using: built-in public functions of the web-application /tiszavilag.hu/

Gained information: personal data collected from all 26500 users of the application, from 1399 entities /islands/ Useful information sources: 18398 individuals /users/  The dump contains 200+ data types, including information of these important data types of the individuals:

trey @ gépház

A tiszasziget.hu egy magyarországi település honlapja, semmi köze a Tisza Párthoz

Rákerestem minden tisza-szimpatizáns ismerős nevére, senkit nem találtam meg, pedig közülük elég sok szigettag van, valaki pedig vezetője is egy szigetnek.

Nekik gondolom szerencséjük volt.

És a település weboldalának dump-jába hogy került bele:

A kiszivárgott információk között szerepelnek az applikáció hét adminjának adatai. Ők olyan személyek, akik hivatalosan is korlátlan hozzáféréssel rendelkeznek az alkalmazásban megtalálható adatokhoz. Egyikük nem más, mint Radnai Márk, a Tisza Párt alelnöke, aki az applikáció kifejlesztését koordinálta. Ő volt az, aki szeptemberben bemutatta a Tisza Világ alkalmazást a nyilvánosságnak. Radnainak most közzétették a telefonszámát és az e-mail-címét is,

trey @ gépház

    Rendkívül súlyos adatszivárgásra hívta fel a figyelmünket egy olvasónk, aki a Redditen találkozott egy linket tartalmazó bejegyzéssel, amely szerint valaki a Tisza Világ applikációból származó személyes adatokat töltött fel az internetre. A Redditről meglehetősen hamar törölték az erre vonatkozó bejegyzést, a link azonban továbbra is él, és az anonpaste.com oldalon azóta is megtalálhatók a tiszás felhasználók adatai. 

Nem tűnik hihetetlennek. Anno a dkplusz app kapcsán megnéztem én is, hogy milyen adatokat gyűjt (pl meglepődtem az IMEI-n: főleg, hogy sehol sem volt feltüntetve..), de csak egy saját regisztráció kapcsán a saját készülékről kimenő - bejövő adatokat nézegettem. A tiszás koppintás nem érte el -nálam- ezt az ingerküszöböt se, de simán lehet, hogy valaki másnál igen :).

Köszi, valóban nem néztem meg a cikket. Megnézve hitelesebb, bár én már lassan azt sem hiszem el, amit látok. Olyan dezinformálós hadjárat megy itt minden oldalon.

Neten rákeresve ezt dobta ki: https://www.reddit.com/r/hungary/comments/1nzd3c2/drága_indeksz_legaláb…

Nem látok rajta regisztrálási lehetőséget (akkor honnan vannak a visszaellenőrzött adatok?) és azt sem értem, hogy miért érdeklődne egy 1675 fős falu után 20K ember az ország minden területéről ... de majd elmondod, vagy a Reddit huszárok megfejtik :D

trey @ gépház

Nem látok rajta regisztrálási lehetőséget 

Miért lenne regisztrációs lehetőség egy kistelepülés önkormányzatának a weboldalán?

de majd elmondod, vagy a Reddit huszárok megfejtik :D

Fentebb már leírtam a tippem: valósak az adatok, de lófasz köze nincs ahhoz, ami a headerben van. Azt valaki begépelte a két kis kezével, és leszarta, hogy hülyeség a domain. Propinak jó lesz így is.

Miért lenne regisztrációs lehetőség egy kistelepülés önkormányzatának a weboldalán?

Ezért sem hinném, hogy onnan van.

Fentebb már leírtam a tippem: valósak az adatok, de lófasz köze nincs ahhoz, ami a headerben van.

🤷‍♂️

Propinak jó lesz így is.

Nem beszélem az budapesti újbeszélt. Propi? 

trey @ gépház

Az adatokból kb 1300 sor tűnik valósnak a többi csak szemét/teszt adatnak tűnik. Tippre felhasználták a júniusi disqus szivárgás adatait (ez tényleg sajnélatos volt), meg beletettek egy csomó szemetet, hogy soknak látszódjon. Ezen kívül még beleírtak egy ukrán admin-t aztán hajrá.

Kész is van az újabb lejáratókampány. Most hozni kell ezeket szinte naponta, mert nagyon megy a Zsolti bácsi. Sima túlkiabálás.

 

Ez az index cikk is "véleményes". 🤣🤣🤣

Rendezd azon dátum szerint emelkedő sorba, majd vesd össze ezzel az állítással:

A fejlesztést követően, de még a Tisza Világ indulása előtt a stabil működés biztosítására több uniós céggel együttműködve zajlott a tesztelés. Személyes adatot ekkor még nem tartalmazott az applikáció.

https://telex.hu/belfold/2025/10/06/tisza-part-applikacio-index

Már csak a fejlesztés tól-ig időtartamát + az éles indulás  kellene publikálniuk és összevetni az adatbázis dátum mezővel :).

Ha jól értem a publikus indulás 2025. szept. eleje?

Tehát azt megelőzően a párt saját bevallása szerint nem tartalmazott személyes adatot.

( lmarton | 2025. 10. 06., h – 15:28 )

⚙️ Formatting Issues / Discrepancies

  1. Delimiter mismatch

    • The CSV uses ; as the delimiter, not ,, so reading with default CSV settings fails.

  2. Inconsistent number of fields

    • Some rows have missing trailing semicolons or extra separators — causing Pandas’ error:

      
 

      ParserError: Expected 2 fields in line 25, saw 3

    • This means some lines have fewer or more columns than the header row. Likely due to:

      • Embedded semicolons inside text (not quoted)

      • Misaligned exports or manual edits

  3. Duplicate columns

    • The header includes duplicates:

      
 

      Custom:User:First:Name, Custom:User:FirstName Custom:User:Last:Name, Custom:User:LastName

      → Could cause confusion or overwriting when imported.

  4. Missing / malformed values

    • Many empty fields (;;) for optional information (e.g., coordinates, country).

    • Some cells contain unexpected compound data like "HU,Székesfehérvár" or "Budapest,HU" — inconsistent formatting of location fields.

  5. Data consistency

    • Some addresses appear incomplete or mismatched between “Home” and “Current” fields.

    • Lat and Lng sometimes duplicated or incorrect (e.g., identical values for both lat/lon).

    • Roles such as "ProjectMember", "Admin", "Island Creator" vary in case and spacing.

  6. Encoding

    • Includes UTF-8 BOM (\ufeff) — harmless but could break parsing in some software.

( Fisher v | 2025. 10. 06., h – 19:41 )

Szerkesztve: 2025. 10. 06., h – 19:41

Izé... jól látom, hogy az Index szemrebbenés nélkül kitette a lopott személyes adatokra mutató linket?

Igen, etikus újságírók ilyenre nem raknak ki linket. Szerinted az olvasók hány százaléke katintja le és elemzi végig? Hányan nyitják meg és néznek bele ahol az első oldalon csak valid adatok vannak és az első sorba be van írva egy ukrán e-mailcím? MIközben látják, hogy 18000sor. Addig már kevesebben jutnak el, hogy elemezzék is és lássák, hogy a valid adatok a tetején vannak, hogy pár lapozással se lásd, hogy az adatok nagy része teszt/szemét adat.

 

Maga az a tény, hogy a Fidesznél totális kampány épült rá mutatja, hogy ez egy megtervezett akció megint.

Úgy értem, hogy a nyári szivárgás adatait melegítették fel újra egy ukrán szál beleszövésével. Ha ukránok fejlesztenék akkor szerinted 1 db sorban 1db e-mailcím lenne ukrán? (ahol a név magyar. az ország még ukrán de a cím budapesti). Se ukrán tesztadat, se más adminok fejlesztők adatai nem utalnak ukránokra. A 100E+ google play letöltés mellett, hogyan sikerült kb csak 1300 valid adatot tartalmazó sorhoz hozzájutni? + még az apple appstore. Jelenleg a Tisza szerint 250E regisztrált felhasználó van. Saját választókörzetemben ismerem a Tiszásokat (is). Az adatok nem túl frissek és csak a kapcsolattartók közül néhány van benne a dumpban.

ChatGPT:

ha egy internetes portál lehoz egy cikket egy adatszivárgásról amiben személyes adatok is vannak mennyire etikus a cikkbe beletenni a linket az adatokra?

A ChatGPT ezt mondta:

Nagyon jó kérdés — és fontos is, mert ez az etika, a jog és az újságírói felelősség határán mozog.

Röviden: nem etikus, és a legtöbb esetben jogilag sem megengedett, ha egy sajtóorgánum linket helyez el olyan forrásra, ahol személyes adatok (pl. nevek, e-mail-címek, jelszavak, címek stb.) elérhetők.

Itt van a részletesebb bontás:

🧭 Etikai szempontok

  • Az újságírói etika alapelve: „ne árts”. Ha a cikk linket tartalmaz az adatokhoz, azzal elősegíti, hogy harmadik felek visszaéljenek azokkal az adatokkal — ez tehát közvetlen kárt okozhat ártatlan embereknek.

  • A sajtó feladata tájékoztatni, nem pedig az adatszivárgás „terjesztésében” részt venni.

  • A korrekt megoldás: a portál leírhatja, hogy történt adatszivárgás, mennyi adat érintett, milyen típusú információkról van szó, és hogyan reagált a cég — de nem teheti hozzáférhetővé az adatokat vagy az azokat tartalmazó forrást.

⚖️ Jogi szempontok (EU / Magyarország)

  • Az ilyen link megosztása adatvédelmi jogsértésnek minősülhet az EU GDPR (általános adatvédelmi rendelet) alapján, mivel ez személyes adatok további jogellenes kezelése.

  • A magyar Infotörvény (2011. évi CXII. törvény) szerint is tilos személyes adatokat jogosulatlanul továbbítani vagy nyilvánosságra hozni.

  • Ha az újság „csak linkel”, de azzal hozzáférést biztosít a személyes adatokhoz, az közvetett adatkezelésnek számít — tehát nem menti fel őket a felelősség alól.

💡 Mi az etikus megoldás?

  • Az adatokat tartalmazó link soha ne kerüljön be a cikkbe (sem nyíltan, sem rejtett formában).

  • Ha muszáj hivatkozni, akkor csak általánosan („egy, az interneten rövid ideig elérhető fájlban”) lehet utalni rá.

  • Az újságírók gyakran a szerkesztőség birtokában lévő anyagként hivatkoznak az adatokra („a szerkesztőség birtokába került információk szerint…”).

Ha szeretnéd, le tudom írni, hogyan lehet korrektül megfogalmazni egy ilyen hírt úgy, hogy tájékoztató, de ne legyen etikátlan vagy jogsértő.
Szeretnéd, hogy mutassak egy példát?

Ne is haragudj, de egy AI válaszát nem tekintem jogforrásnak. Itt az etika nem számít, kizárólag a jog. Az etika ebben a kontextusban szépelgés. Kb. ugyanaz, hogy nem etikus buszon fingani, de szabad. Az biztosan nem adatkezelés, ha egy nyilvánosan elérhető adatra linket adsz. Az infótörvényben nincs szó közvetett adatkezelésről. Arról van szó, ha valakit úgy szivárogtatnak, hogy nem írják le ugyan a nevét, de elég pontosan körülírják ahhoz, hogy pontosan azonosítható lesz. Meg van ilyen is:

közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása

Az AI már megint blöffölt valamit. Nyugi, nekem nemlétező GTK4 függvényt hazudott be, megkérdeztem, melyik header-ben van, arra is hazudott egy vaskosat, megnéztem, persze nem volt ilyen függvény. Kitalált egyet. Valamiért az AI úgy van idomítva, hogy nem mondja azt, hogy „nem tudom”, inkább kitalál hamis dolgokat. Mint egy kisgyerek, hazudozik. Ha szembesíted, elnézést kér, elfogadja, hogy igazad van, majd behazudik valami újabb hülyeséget.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Önálló gondolat már nincs is igaz? Amit a szádba ad egy szemétdomb generatív szöveollózó robot, azt megeszed kérdés nélkül. Kérdezd meg tőle, hogy magadtól essél ki az ablakon vagy segítsen valaki. Vagy, hogy egészben vagy félben kell a ciántablettát lenyelni. Bizto segíteni fog, csaj nehogy félreértsd az utasításokat. Röhögnöm kell komolyan azokon a szánalmas biorobotokon, akiknek 2 értelmes mondat nincs a fejükben önállóan és minden szarért rohannak ezekhez a nyomorult propagandagépezetekhez. Önállóan betolni az összes személye adatát, megmaradt 2 agysejt által generált halovány gondolatait. Add oda nekik mindened, ezaz! Aztán még dicsekedj is el vele, hogy ennyire vagy képes. Ctrl + C, Ctrl + V. Kemény meló volt?

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

( traianus | 2025. 10. 06., h – 21:34 )

Szerkesztve: 2025. 10. 06., h – 21:38

Mivel az app 100k+ letöltésnél jár csak a Google Playen, az biztos, hogy ez 18k sor nem a teljes user adatbázis, még akkor sem, ha okt 1-i a dump. 

Szerintem azok adatai kerültek ki, akik nem kapcsolták be az "inkognitó" módot. Ez alapból be van kapcsolva regisztráció után. Ha kikapcsolod, akkor nyilvános lesz a profilod, tehát más userek is láthatják. Tehát akinek nyilvános volt a profilja, azt lescrapelték.

Ez az a szintű "feltörés", mint amikor LinkedInről vagy FB-ről egy bottal lehúzzák a nyilvános adatokat.

A dump-ban egyénként találtam ismerőst, neki stimmelt az ott lévő adata, tehát az a része validnak tűnik. 

Ez simán lehet. Ezt írták:

Ahogy vártuk, a kormány hazugság-kampányba kezdett a TISZA Világ ellen. Az Index és más propaganda-médiumok azt terjesztik, hogy az applikáció nem biztonságos. Ez nem igaz. A TISZA Világ minden előírást betartva, az uniós és magyar adatvédelmi szabályoknak megfelelően kezeli az adatokat.

Számunkra az adatvédelem mindig is a legfontosabb volt, eddig is volt lehetőséged inkognitó módban használni az applikációt, ugyanakkor azt is megértjük, hogy szeretnétek egymáshoz kapcsolódni, más szigetekkel együttműködni.

Ezért a héten egy új egyéni láthatósági módot vezetünk be:

Te döntöd el, hogy a neved, a képed, az emailed vagy a telefonszámod csak a saját sziget, más szigetek vagy mindenki számára legyen látható. A kontroll a Te kezedben van.

Elmebeteg, aki ezt kitalálta igy, majd ki tette a store-ba...

Valószinű egy feljelentést megér, nem hiszem, hogy nem röhögik körbe, ha azzal védekezik, hogy nem lesz a neved, cimed, telefonszámod, pártpreferenciád tök nyilvános, hiszen "eddig is volt lehetőséged inkognitó módban használni az applikációt"

( mark7 | 2025. 10. 06., h – 22:59 )

Bla bala bla bla , majd akkor szóljál, ha eléri a 2 milliárdot, ala gogle.

( Adamyno | 2025. 10. 06., h – 23:00 )

No gyerekek el kell szomorítsak itt pár embert szerintem, de sajnos (vagy szerencsére - ezt mindenki döntse el maga) 4 keresési próbálkozásból találtam rajta általam is ismert valid személyt kettőt, de elég ha csak megnézed a facebook profiját mindegyiknek, másból nem áll, mint tiszás reklámból. Természetesen nyilvánosan megosztva, hogy könnyebb ellenőrizni. Gyűlnek a pontocskák a karrieristáknak. Kiból lesz a legjobb jelölt és milyen egyéb pozíciókat osztanak szét. Egyébként bizonyos szekták pont így működnek, hogy bizonyos dolgokért cserébe teljesíteni kell bizonyos feladatokat.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...