Internetre kileakelt személyes adatokat tartalmató leak-eket / dump-okat ....

Internet Relay Chat / IM

Mostanában sok az alacsonyan repülő személyes adat leak/dump az interneten. Le szoktad tölteni ezeket?

( Sulc v | 2025. 11. 10., h – 09:57 )

Már nem, túl sok vesztenivalóm van.

( hunludvig v | 2025. 11. 10., h – 10:29 )

Egyszer letöltöttem egy fél terrás dump-ot pusztán kíváncsiságból. Akkora macera volt, hogy azóta nem jutott ilyesmi eszembe. Kiszivárgott forráskód az más, azokba bele szoktam olvasni.

( pink v | 2025. 11. 10., h – 10:55 )

Nem, mert leszarom. Sajnálom ilyesmire az időt.

( Friczy v | 2025. 11. 10., h – 11:30 )

Nem érdekel, és persze bizonyos szempontból a jogi aggály is felmerülhet.

( kroozo v | 2025. 11. 10., h – 11:40 )

Depends-on. Többnyire inkább az utolsó három nem, leginkább az egyéb indok, kevésbé érdekel. Viszont ha gyanús, akkor a kettes bejátszik, illetve igen, akkor is volt már, hogy belenéztem, mikor érdekelt nem is annyira a szakmai kíváncsiság, inkább az, hogy mennyire validak a mások által levont következtetések.

( cashy_hu | 2025. 11. 10., h – 11:47 )

Igazából leszarom. Pont elég a saját dolgom. Még sok is.

( ssikiss | 2025. 11. 10., h – 13:35 )

Azért ez a linkelt videó jó példa arra, hogy hogy csinálj magadból úgy (legalább is) gyanúsítottat, miközben azt mutatod be, hogy hogy nem leszel az. :D

Statisztika se az erőssége a jutubernek.

( tibyke | 2025. 11. 10., h – 15:29 )

Internere?

szerk.: kicsit tobb figyelmet!

Jajj, nemár, tökre felcsigáz, hogy ez mi lehetett? Kéne egy olyan lehetőség, hogy saját felelősségre lenyitható a szövegdoboz és megtekinthető a durva tartalom. Habár ha köztörvényes, vagy csak bután fajtázós akkor nem baj, ha nem szedi innen össze sem a gugli, sem valamelyik AI. De a piros sáv menőn néz ki. :-)

( gelei v | 2025. 11. 10., h – 16:23 )

Nagyon durván szakmaiatlan a videó, és nem arról beszélek, hogy élőben követ el bűncselekményt :D

( Dolphy | 2025. 11. 11., k – 02:22 )

En arra leszek kivancsi, hogy mi lesz ebbol a rend es a szigoru kovetkezmenyek orszagaban. Nem a leakerre gondolok elsosorban, hanem azokra akik ezeket megosztjak, publikaljak, neveket listaznak, szamokat hivogatnak, tiszasokat latogatnak meg, stb. Ok eleg jol szem elott vannak, szoval akar le is lehetne csukni oket.

Én meg arra leszek kíváncsi, hogy az elsődleges felelőssel, az adatgazdával (TISZA) mi lesz? Főleg annak tökrében, hogy olyanok adataid is tárolták, akik nem járultak hozzá. És persze ezt is eltárolták. Na meg nem jelentették időben az incidenst, stb. Ilyen esetekben a bünti 100 milliós nagyságrend.

A harmadlagos fellelősök - akiket emlegetsz - nagyon könnyen ki tudnak bújni a felelőségre vonás elől.

„Az összeomlás elkerülhetetlen, a katasztrófa valószínű, a kihalás lehetséges.” (Jem Bendell)

Mennyire hiszel az objektív igazságszolgáltatásban

Semennyire. Illetve tapasztalataim szerint a NAIH viszonylag korrekt, viszont a bíróságokon bármi megtörténhet, meg az ellenkezője is. Szintén tapasztalat. Szét kellene zavarni az egész bandát.

A delikvens adatai között eltárolták azt, hogy a delikvens nem járult hozzá az adatainak a kezeléséhez.

„Az összeomlás elkerülhetetlen, a katasztrófa valószínű, a kihalás lehetséges.” (Jem Bendell)

A delikvens adatai között eltárolták azt, hogy a delikvens nem járult hozzá az adatainak a kezeléséhez.

Szerintem ez megint az az eset, hogy ez egy master data adatbázis, nem csak az app létezik. Ebből fieldnévből nem igazán tudod megmondani, hogy azt mi tölti, vagy mit jelent egyáltalán.

Ha te mondjuk feliratkoztál egy hírlevélre, ott kötelező volt elfogadni az adatkezelést, és ez már létrehozta a rekordodat a CRM-ben. Ha viszont például nem töltötted le az appot utána, akkor az apphoz tartozó T&C-t nem fogadtad el (nyilván, hiszen nem is kérte semmi, hogy fogadd el), akkor ez nem lesz beikszelve ott.

Ezért írtam fentebb, hogy random beletekerve a videókba, rengeteg szakmaiatlan butaságot összehord a srác. És ehhez nem kell se IT zseninek lenni, se politológusnak. Ha láttál már CRM mögötti MDM-et, akkor ennél sokkal nagyobb katyvaszok is tudnak lenni benne.

Nagy vonalakban egyetértünk, ez tényleg mester adatbázis. Gyanítom, hogy a teljes adatbázis kiszivárgott, ezzel a 200000-el csak demóztak a szivárogtatók.

Ennek a mezőnek a tartalma akkor lesz érdekes, ha a NAIH rákérdez, hogy hol az adatkezeléshez a hozzájárulás. Ha a TISZA rámutat erre a mezőre, akkor bukta van. Gyanítom, hogy nincs másik adatbázisuk (esetleg papírjuk), amire mutogatni lehetne.

Értem, hogy a CRM mögött bármi is lehet, de ez a NAIH-t nem fogja meghatni.

„Az összeomlás elkerülhetetlen, a katasztrófa valószínű, a kihalás lehetséges.” (Jem Bendell)

A harmadlagos fellelősök - akiket emlegetsz - nagyon könnyen ki tudnak bújni a felelőségre vonás elől.

Korántsem biztos, bár nem hiszem, hogy felelősségre vonnák őket, legalábbis az elkövetkezendő fél évben biztos nem. A Tisza - legalábbis azok körében, akik hozzájárultak az adatkezeléshez - jogosan tárolta az adataikat, viszont nem védte meg eléggé, erre rá lehet mondani, hogy jóhiszemű balfaszok voltak. Nem ők az egyetlenek, elég sok példa van data leakre. Aki viszont ezeket megszerezte, tudta, hogy bűncselekménnyel megszerzett adatot szerzett meg, ez eddig még bocsánatos bűn, de amint ezt nyilvánosságra hozza, térképes keresőt csinál hozzá, stb., az már a megszerzett adatokkal való durva, szándékos visszaélés, szerintem nagyobb tétel kéne legyen, mint a gondatlan őrzés.

Hogy mennyire voltak jól védettek az adatok, az egy szakmai kérdés, de az viszont nem az, hogy ha tudomásuk volt róla, hogy kiszivárgott, akkor azt a NAIH felé jelenteni kell(ezt volna) azonnal.

Azt gyanítom, hogy ez utóbbi nem történt meg, amiért mindenképpen - és teljesen jogosan - el fogják őket kaszálni.

Azért van pár kérdés még elötte:

  • mi történt valójában? adatszivárgás vagy adatrablás/hackelés
  • a kikerült adatok és az ellopott adatok ugyanazok? mert jelenleg úgy néz ki, hogy nem. Mellesleg egy feltételezés az állításod egyik mondata: Főleg annak tökrében, hogy olyanok adataid is tárolták, akik nem járultak hozzá. Honnan tudod hogy az nem máshonnan van, és csak 2 vagy több adatbázist összefesültek? vagy Te tudsz valami konkrétumot?
  • kinek állt érdekében?
  • aki kirakta és akik megosztották azok miért? ilyet korábban csinált már a média, hogy bármilyen ellopott/kiszivárgott adatokat ilyen formán kiraktak a publikumnak?

üdv

an-dee

arra próbáltam rámutatni, nem biztos hogy azok az adatok vannak a neten amiket pl elloptak. Vagyis aki kirakta, az nem CSAK az ellopott adatokat hanem máshonnan ellopott adatokat is kirakott .... Mint amikor az orgazdáshoz kimegy a rendőrség, és nem csak Pista kocsiját találják ott (aki feljelensét tett) hanem Gézájét is, akkor nem csak Pista kocsijával kell foglalkoznia a rendőrségnek.

A harmadlagos fellelősök - akiket emlegetsz - nagyon könnyen ki tudnak bújni a felelőségre vonás elől.

Hogy a fenebe tudnanak?

Amit a Promenad24 es a Vadhajtasok elkovetett az teljesen egyertelmuen buncselekmeny. Onnan az ujsagirokat eloszedni azert nehogy mar akkora effort legyen, hogy a nagy Tisza felelossegre-vonas kozben ne jutna ra eroforras. 

Ha pedig megis ki tudnak bujni a felelosseg alol, akkor ez (tovabbra is) egy kovetkezmenyek nelkuli orszag es nem egy jogallam. Ez az incidens szerintem a Fideszt egeti jobban es nem a Tiszat, amit csakis maguknak es a mediajuk mukodesenek koszonhetnek.

Nekem nincsenek illúzióim. A Promenad24-nél, hogy nincs valódi impresszum (felelős szerkesztő nincs feltűntetve), nincs szerzője a cikkeknek, eleve nem felelt meg a sajtótörvénynek eddig sem. Van egy "kiadásért felelős személy" megjelölve, ami állítólag ~félévente változik. Év elején már volt pont ilyen ügyük, amikor kutyapártos aktivistákat doxoltak, mi is történt ez ügyben (azon túl, hogy az MKKP feljelentést tett)? Semmi. 

Aztán ott volt a rendőrkapitány öngyilkosságának ügye, ahol a rendőrségi szóvívőnek kellett kiállnia, hogy tételesen cáfolja az összes hazugságot ami promenádos (történtek után gyorsan levett) cikkben szerepelt. Mert a rendőrség, mint szervezet teljesítményéről is volt jónéhány hamis lejárató tényállítás benne. Azt gondolnád, hogy ez azért már csak nem marad következmények nélkül. Hát de...

Eddig is megúszták, ezután is meg fogják.

Régóta vágyok én, az androidok mezonkincsére már!

"az elsődleges felelőssel, az adatgazdával (TISZA) mi lesz?"

GDPR szempontból egyértelműen ők lesznek elővéve. És itt az a tény, hogy az adat valamilyen külső fél "rosszindulatú" tevékenysége során került ki, nem enyhítő, hanem inkább súlyosbító körülmény (lévén, hogy így biztosra vehető, hogy visszaélnek az adatokkal, nem csak "kinn volt felejtve, de senki nem tudott róla").

Régóta vágyok én, az androidok mezonkincsére már!

Igen furcsának hangzik, de alapvetően abból indul ki, hogy mekkora kár érhette azt, akinek a személyes adata kikerült. Erre ilyen risk analízis jellegű mátrix van. Ha támadás során került ki az adatod, akkor nagyjából biztosra vehető, hogy olyasvalakihez jutott, aki visszaélni akar vele, tehát az összesített kockázat magasabb -> a kár is nagyobb. 

Régóta vágyok én, az androidok mezonkincsére már!

Na, a bírói gyakorlat részét nem tudom, pláne hazánkban. Amennyire tudom a GDPR-ben ajánlás (nem tudom kötelező-e) hogy az ENISA-féle Data Breach Severity Methodology pontozási rendszerrel értékeljék ki a GDPR incidensek súlyosságát. Ebben a legvégen szerepel az "A4 Malicious Intent" pont, ami +0,5-öt ad a végső súlyossághoz (ez amúgy összességében nem nagyon sok). Tehát indirekt módon az adatgazda súlyosabb besorolású incidens miatt felehet, ha külső fél támadása miatt került ki az adat.

Régóta vágyok én, az androidok mezonkincsére már!

Nehezen tudom elképzelni, hogy olyanért lehetne őket elővenni, ami felett nincsen kontrolljuk.

Ha minden szabály megfelelő volt, és azok be is voltak tartva, akkor nem hibáztak, és bíróságon is megáll.

Pl. ha belső ember szivárogtatta ki, de előtte át volt világítva, akkor az a belső ember lesz elővéve.

Nyilván egy nagyobb szervezetnél mindig vannak szemhunyások egy-egy szabály felett (még ha azok jók is voltak), meg kapkodás, biztos vagyok benne, hogy meg fognak állapítani hiányosságokat az adatkezelésben.

Itt írtam le, hogy - indirekt módon - ez miért súlyosbíthatja a helyzetüket: https://hup.hu/comment/3236033#comment-3236033

Ha minden szabály megfelelő volt, és azok be is voltak tartva

Ez innentől a másik fele az ügynek, hogy megtettek-e minden elvárható gondosságot a megelőzésére. Ilyenkor azért nem árt ha fel tudnak mutatni egy-két ISO, SOC2 meg hasonló auditról plecsnit. (Igen, ez pontosan annyira abszurd, amennyire hangzik, lévén, hogy egy párt Kubatov-listájáról van szó...)

A belső ember aki hozzáférhet... erről tudnék mesélni, nálunk pl prodban az ssh daemon nem is futhat a gépeken (!), hogy még hibaelhárítás közben se (!!), lehessen hozzáférni olyan erőforráshoz, amin akárcsak az elvi lehetősége megvan, hogy PII-t tartalmazó ügyféladat van. Valahol kb itt van az iparági standardje annak, hogy "elvárható gondosság". Ha a "nem tudjuk melyik belső ember vihette ki" kérdés felmerül, már réges-régen rossz...

A másik baj az, hogy a GDPR szerint eleve tilos olyan személyes adatelemeket gyűjteni, amik a feladat elvégzéséhez szükséges abszolút minimumot meghaladják. Itt rögtön meg kéne mondani, hogy mi is volt az adatgyűjtés célja, ami kapásból egy kényelmetlen kérdés. Másrészt a lakcím és munkahelyi cím mellé még GPS koordináták tárolása - akármi is legyen a deklarált cél - egészen biztosan "redundáns", tehát szükségtelen mértékű adatgyűjtés lesz.

Régóta vágyok én, az androidok mezonkincsére már!

Nekem ennél aggasztóbb, hogy több ismerős meg megerősitette, hogy megtalálta magát az adatbázisban és bár 100%, hogy nem adta meg a cimét és mégis ott cime, ill. a még durvább, hogy az egyiknek a valós ciménél pár házszámos eltérés van, azaz valószinű reverse geocodingolták a készülék gps koordinátáit, amit egyetlen szóval sem emlitettek neki.

Feljelentés az van gondolom "egypár" és a kisebb halak között nyilván lesz akit annak a rendje és módja szerint megbüntetnek. Egy bizonyos tisztaság képzetét is keltheti az, ha felmutatunk a saját berkeinkből "bukó" parasztokat/futókat is. 

Az államapparátus és a (másik) hatalmi ágak működésében megfigyelhető szokott lenni egy "érzékenyedés", élénkülés ahogy közeledik egy választás és most hosszú idő után van kilátás a törvényhozó (és vezetői) brancs cseréjére. Mindenki árazgat és a legszebb arcát igyekszik mutatni, attól függően, hogy mi a tippje a következő főnökre, és milyen jövőt képes magának biztosítani vagy elképzelni a kapcsolatai, a képességei, a róla kialakult vélekedés alapján, stb. :D

Azt nem nehéz megmondani, hogy a jelenlegi polsapka (álá ársapka) mellett, "meddig" tudnak elmenni, és mennyire a "szekrénynek írják" a nyomozati anyagokat a rendőrök és szakértők. Ezzel együtt az én tippem az, hogy ez a téma nem tud ráégni a Fideszre, mert az a nagyon hangsúlyos, hogy a "vérebmédia" pörgött rá és a törzsszavazói körben ez szerintem nem sokat számít, mert beleillik a ballib elleni harcba. A listázgatásnak és ezek nyilvánosságra hozásának van hagyománya már a nerben. Ennek ellenére szerintem hiba volt ekkorát fújni rajta, mert Fidesz oldalon max összetart, a Tiszának meg inkább tud hozni szavazókat a jelenlegi politikai klímában. De politológus sem vagyok, úgyhogy ez csak képzelgés. Akinek az a dolga az már méri biztos. :)

A Tiszának nyilván annál többet hoz, minél jobban sikerül hangsúlyozni az antidemokratikus és bűncselekmény részét az ügynek.

Nem irigylem az informatika dolgát egyébként, mert nyilván tele van téglával, szivárogtatóval mindkét oldal.