Gyurcsányékat nem érdekelte, hogy a pártszimpatizánsok bizalmas adatait meghekkelték

A PestiSrácok.hu által megismert dokumentumok tanúsága szerint a Demokratikus Koalíció nemes egyszerűséggel letagadta a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH), hogy már áprilisban tudomást szereztek arról a hackertámadásról, melynek során a weboldaluk összes felhasználójának jelszavait szerezték meg ismeretlenek, holott a rendszer hiányosságára és támadhatóságára többször is figyelmeztették őket.

Mint ismert: a NAIH 11 milliós adatvédelmi bírságot szabott ki a Gyurcsány-pártra, miután kiderült, hogy még tavaly augusztusban feltörték a weboldalukat és elvittek egy tizenegyezer rekordos támogatói adatbázist. Az indoklás szerint a párt annak ellenére, hogy már tavaly augusztusban értesült az incidensről, sőt, arról is, hogy szeptemberben a NAIH hatósági ellenőrzést indított az ügyben, mégsem értesítette az érintetteket, és a hatóságnál sem tette meg a szükséges bejelentést. A DK szerint pedig csupán az történt, hogy a NAIH a rájuk kirótt büntetéssel akarja ellehetetleníteni a párt európai parlamenti kampányának sikerét. A PestiSrácok.hu által megismert dokumentumok szerint azonban a DK-t már áprilisban értesítették arról, hogy sérülékeny az informatikai rendszerük, de ezt nemes egyszerűséggel nem vették tudomásul, majd később le is tagadták.

Annak pedig mégiscsak van némi diszkrét bája, hogy ezek után még a Demokratikus Koalíció (DK) azzal vádolja a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), hogy a pártra frissen kiszabott 11 millió forintnyi pénzbüntetéssel beavatkozik az európai parlamenti választási kampányba, és megpróbálja ellehetetleníteni a DK választási esélyeit. Minderről Molnár Csaba, a DK ügyvezető alelnöke keddi sajtótájékoztatóján beszélt, ahol azt is elmondta, hogy véleménye szerint nem véletlen, hogy a hatóságnak két hónappal az európai parlamenti választás előtt jutott eszébe a büntetés kiszabása. Molnár szerint a hivatal munkatársai arra is gondosan ügyeltek, hogy a pénzt a kampány után ne lehessen befizetni, mivel 30 napos fizetési határidőt adtak a DK-nak, ez pedig annyira felháborította a Gyurcsány-pártot, hogy bíróságon támadja meg a határozatot.

Nem sikerült igazat mondani a hatóságnak sem

Amint azt már megszokhattuk, a DK nemes egyszerűséggel az általa elkövetett szabálytalanságért valaki mást, most éppen a Nemzeti Adatvédelmi és Információszabadság Hatóságot vádolja. Teszi mindezt úgy, hogy a portálunk által megismert bizonyítékok szerint a DK elsumákolta a hivatal munkatársai előtt, hogy többször is figyelmeztették őket arra, hogy mennyire sérülékeny az informatikai rendszerük.

Egy augusztusi levélváltás szerint a DK kijavította a hibát, és persze nem is tudtak arról, hogy korábban figyelmeztették volna őket.

Már áprilisban jelezték, hogy a Demokratikus Koalíció oldalát meghekkelték és bizalmas adatokat loptak el a szerverről.

Bár tudtak róla, mégsem tettek semmilyen lépést annak érdekében, hogy illetéktelenek megszerezzék a felhasználók bizalmas adatait, jelszavait, így aztán sikerült is ellopni a mintegy 11 ezres adatbázist, amiről viszont az érintetteknek nem szóltak, sőt, a hatósági bejelentést is elmulasztották megtenni.

Tudtak a hibáról, mégsem tettek semmit

A DK úgy érvel, hogy csak tesztadatbázist törtek fel. A NAIH szerint ez lényegtelen, hiszen az valós adatokat tartalmazott, amelyek bizalmas jellege súlyosan sérült, és már tavaly áprilisban tudomásuk volt arról, hogy illetéktelen(ek) hozzáfértek a tizenegyezres felhasználói adatbázis bizalmas információihoz. Amikor szeptemberben a NAIH – bejelentésre – már vizsgálódni kezdett, a DK hallgatásba burkolózott. Később azzal érveltek, hogy az érintett adatok régiek, elavultak, így a párt jelenlegi szimpatizánsainak, tagjainak a párt által tárolt és kezelt adatait szerinte nem érintette az incidens.

Az Ügyfél az incidenst ugyanezen megfontolás miatt nem vette az általános adatvédelmi rendelet 33. cikk (5) bekezdése alapján nyilvántartásba, arra hivatkozva, hogy az eset nem érintette az élő adatbázisát.

A NAIH határozata egyértelműen kimondja, hogy a DK védelmi intézkedései nem voltak megfelelőek, illetve, hogy különösen a jelszavak esetében nem elfogadható az MD5 (kódolási algoritmus) alkalmazása, mert „nagyon gyenge védelmet jelent, mivel percek alatt vissza lehet fejteni”, és „a felhasználók ugyanezeket az adatokat esetleg más (leginkább online, de akár offline) szolgáltatás használata során is használhatják akár a mai napig”. A DK azóta ugyan már elérhetetlenné tette a tesztoldalt, a felhasználók bizalmas adatait viszont már nem tudják visszavonni, ami különösen izgalmas annak fényében, hogy azon politikai véleményre vonatkozó különleges adatokat is tároltak.