A Mi Hazánk informatikusai is cáfolják a Tisza Párt magyarázatát
A Mi Hazánk Mozgalom Informatikai Munkacsoportja eljuttatott egy dokumentumot a Magyar Jelenhez, amivel szakmai szempontból is reagál a Tisza Párt által működtetett Tisza Világ alkalmazással kapcsolatos adatkezelési botrányra. Az eset nemcsak informatikai, hanem jogi és nemzetbiztonsági kérdéseket is felvet. A munkacsoport álláspontja szerint ha egy párt nem tudja biztonságosan kezelni támogatóinak adatait, azzal veszélybe kerül az emberek bizalma az online politikai részvételben.
A Tisza Párt azt állítja, hogy az adatokat egy önkéntes vitte ki a rendszerből. A beszámoló ezt az állítást műszaki és logikai alapon is cáfolja: több mint 18–20 ezer rekord kiszivárgása nem lehetséges manuálisan, egyszerű felhasználói hozzáféréssel. Egy önkéntes nem rendelkezhetett sem közvetlen adatbázis-, sem rendszergazdai szintű hozzáféréssel.
Az ilyen volumenű adatvesztés automatizált lekérdezés vagy sérülékeny végpont – például rosszul konfigurált felhőtároló vagy hiányzó jogosultság-ellenőrzés – eredménye.
A nyilvánosan elérhető technikai ajánlások szerint ez hibás hozzáférés-vezérlésre, hibás hitelesítésre vagy hibás biztonsági konfigurációra utal. A jelentés alapján ha valóban egy személy hajtotta volna végre a műveletet, annak nyoma lenne a szerver- és adatbázisnaplókban. Ilyen bizonyítékot a Tisza Párt nem mutatott be, ráadásul a párt kommunikációja is ellentmondásos:
előbb tagadták az incidenst, majd részben elismerték a külső fejlesztők és külföldi szerverek jelenlétét.
Ez a váltás ellentétes az általános adatvédelmi rendeletben (GDPR – General Data Protection Regulation) is szereplő elszámoltathatóság elvével.
A dokumentum rávilágít, hogy a technikai körülmények alapján az alkalmazás szerveroldali része vagy egy kapcsolódó felhőszolgáltatás válhatott nyilvánosan elérhetővé, ami tömeges adatlekérésre adott lehetőséget. A médiában közölt technikai bizonyítékok is inkább arra utalnak, hogy
az adatokat nem belülről vitték ki, hanem a webalkalmazáson keresztül automatikusan bejárva az elérhető oldalakat, adatpontokat.
A szöveg arra is felhívja a figyelmet, hogy egy ilyen jellegű tömeges adatletöltést – 26 500 érintett felhasználó – sem egy önkéntes, sem egy átlagos felhasználó nem tudna kézzel végrehajtani.
A beszámoló azt a következtetést vonja le tehát, hogy nem emberi szivárogtatás, hanem egy technikailag rosszul védett rendszer volt az adatvesztés oka. A hiba forrása a fejlesztés és az üzemeltetés szintjén keresendő.
A további részletekről IDE KATTINTVA a Magyar Jelen honlapján olvashatnak.
