Egy újabb kormányzati portált törtek fel, ahol 2000 embert érintő adatok kerültek nyilvánosságra. Ezen a héten már a második kormányzati oldal került hekkerek célkeresztjébe. Bár az előző eset nagyobb feltűnést keltett, az aktuális sérülés komolyabb, mert ez alkalommal személyes információk kerültek illetéktelen kezekbe. Az egyik szakértő úgy véli, hogy napjainkban már nem reális elvárni, hogy a kormány minden egyes rendszert abszolút biztonságban tartsa. A hekker elárulta, hogy a Mr. Robot című sorozattól kapott ihletet.
A Nemzeti Klímavédelmi Hatóság (NKVH), mely az Energiaügyi Minisztériumhoz tartozik, Klímagáz Adatbázis nevű oldalát feltörték. Az ellopott adatokat közzétették.
Az NKVH-nak feladata, hogy szemmel tartsa a fluortartalmú üvegházhatású gázokkal foglalkozó cégeket, és ezért működteti a Klímagáz Adatbázist. Ezt az adatbázist egy 2015-ben kiadott EU-s rendelet alapján hozták létre, melyben az érintett vállalkozások adatait és tevékenységeiket, valamint kibocsátási kvótáikat és jelentéseiket rögzítik.
Ez a héten már a második alkalom, hogy kormányzati portált ér támadás. Múlt pénteken az Igazságügyi Minisztérium fogyasztóvédelmi portáljának egyik aloldala, a Jogsértést elkövető webáruházak adatbázisa került hekkerek kezére. A látogatók helyett a támadó üzenetét és egy román zászlót találtak az oldalon, valamint egy letölthető adatbázisfájlt. Az oldalt nem sokkal később lekapcsolták.
Ami a Klímagáz Adatbázist illeti, a hekker nem változtatta meg az oldal tartalmát, viszont közzétett egy linket a Telegramon, ahol az érintett oldalról ellopott adatok letölthetők, beleértve személyes információkat is.
„A Telexnek címzett üzenetével egyébként arra utalt, hogy a múlt heti hekkelésről – amelyet a jelek szerint ugyanő(k) hajtott(ak) végre – akkori cikkünkben azt írtuk, a magyarra elcsúfításnak vagy honlaprongálásnak fordítható támadási forma technikailag az egyik legprimitívebb, de az egyszerűsége és látványossága miatt kedvelt módszer. (A hekkerek az utóbbi időben valamiért egyébként szeretik a Telexet emlegetni az üzeneteikben: a múlt heti esetben is volt ilyen utalás a hekker által a feltört oldalra kiírt szövegben, ahogy a közoktatási KRÉTA, majd a felsőoktatási Neptun tanulmányi rendszer elleni tavaszi támadás esetében is megidézték lapunkat.)" - Olvashatjuk a Telex bejegyzésében.
Az adatbázisban többek között vállalatok nevei, címek, kibocsátási adataik és jelentéseik (csak a fájlnevekkel) találhatóak. Továbbá személyes információk is megtalálhatóak benne, mint például kapcsolattartók nevei, címzettjei, telefonszáma és email-címe. Elsődleges vizsgálatok szerint az adatbázisban 2061 emailcím található. Emellett 727 belépési információ is szerepel, bár a jelszavak nagyrészt titkosított formában szerepelnek, ami megnehezíti közvetlen felhasználásukat.
Mivel személyes adatok kerültek nyilvánosságra, a Nemzeti Klímavédelmi Hatóság köteles az uniós adatvédelmi rendelet (GDPR) alapján értesíteni a Nemzeti Adatvédelmi és Információszabadság Hatóságot. Minden érintettet – azaz több mint kétezer embert – tájékoztatniuk kell, ha az incidens komoly kockázatot jelent számukra.
A GDPR bár lehetőséget biztosít nagy összegű bírságok kiszabására, ezt a kormányzati szervek esetében az Infotörvény korlátozza.
A hekker reakciójában kifejtette, hogy célja a magyar rendszerek sérülékenységének bemutatása. Hozzátette, hogy néhány társával unalmukban végeznek ilyen akciókat, és a Mr. Robot című televíziós sorozat ihlette őket.
Végezetül, a hekkelések gyakorisága felveti a kérdést, hogyan lehetséges, hogy rövid időn belül több kormányzati weboldal ellen is sikeres támadást hajtanak végre. Kocsis Tamás kiberbiztonsági szakértő szerint a válasz egyszerű: a kibervédelem határai változnak és a védelem helyett mostanában a reagálásra helyeződik a hangsúly. Kocsis úgy véli, hogy a Nemzeti Kibervédelmi Intézet reakciós képessége kiváló, tekintettel a rendelkezésre álló erőforrásokra. A védelem sosem lesz tökéletes, mivel a támadók is egyre innovatívabbak.
Forrás: telex.hu
