Hogyan kompomittálhatták a rendszert?

A rendszerbe történt jogosulatlan hozzáférés módjáról maga a közzétevő osztott meg részleteket. Állítása szerint az egyik háttérrendszeri API-végpontnál nem valósult meg a megfelelő jogosultsági ellenőrzés: egy újonnan létrehozott hitelesítési tokennel bármely felhasználó adatai lekérdezhetők voltak, pusztán azonosító (user ID) alapján.

Részlet a közzétevőhöz tartozó profil publikus thread-jéből

A hibát a támadás óta kijavították az adatokat kiszivárogtató állítása alapján, aki - bevallása szerint - egyben a rendszer kompromittálója is.

Bár hivatalos megerősítés ezzel kapcsolatban nem történt, a leírás technikailag reális és rávilágít arra, hogy egyetlen szerepkör-ellenőrzési hiányosság is elegendő lehet a felhasználói adatok tömeges kinyeréséhez.


A kiszivárgott adatok

A kiszivárgott adatállomány egyértelműen (mint azt az Oktatási Hivatal is elismerte) a Tehetségkapu rendszer egyik központi adatbázisából származnak, amely a regisztrált felhasználók alapadatait tartalmazza. Az adatszivárgás több mint 55 ezer felhasználói rekordot érint, a közzétett állományban a következő mezők szerepelnek:

-- Felhasználónév

-- E-mail cím

-- Teljes név

-- Egyedi, növekményesen generált felhasználói azonosító (ID)


Felhasználói azonosítók és adatstruktúra

A közzétett rekordokban minden felhasználóhoz egy egyedi azonosító – úgynevezett felhasználói ID – tartozik. A legnagyobb azonosító értéke 72 ezer feletti, miközben az összes rekord száma ennél jóval kevesebb, nem sokkal több mint 55 ezer. Ez első ránézésre hiányos adatbázisra utalhat, de a kiszivárogtató szerint a teljes adatbázishoz hozzáfért és a különbség abból fakad, hogy időközben több felhasználói fiók törlésre került. Mivel az ID-k automatikusan sorszámozva jönnek létre, a törölt felhasználók helyei „lyukként” jelennek meg a számozásban.


E-mail címek és domain-minták

Az e-mail címek nagy többsége technikailag érvényes domaint tartalmaz, de néhány száz esetben formailag hibás bejegyzések is előfordulnak. A leggyakoribb végződések között megtalálhatók a nagy-, illetve a magyar felhasználók körében gyakran használt levelezőszolgáltatók (gmail.com, freemail.hu, citromail.hu), valamint számos intézményi és kormányzati domain, köztük gov.hu-s címek is. Ezek közül az Oktatási Hivatalhoz tartozó oh.gov.hu domain különösen gyakori.


Azonosíthatóságot növelő mintázatok

A kiszivárgott adatbázis részletes elemzése számos olyan mintázatra világított rá, amelyek tovább növelik a visszaélés lehetőségét – különösen, ha az adatok célzott támadásokhoz kerülnek felhasználásra.


Név-alapú e-mail címek aránya

Az adatok alapján több mint 16 000 felhasználó – a teljes állomány közel 30%-a – olyan e-mail címet adott meg, amely egyértelműen a saját nevére utal, például a vezeteknev.keresztnev@domain.hu formátumot követve.
Intézményi e-mail címek: gov.hu és oktatási domainek

A név-alapú e-mail címek közül:

-- Több mint 260 tartozik gov.hu végződésű, kormányzati szintű címhez,

-- Több mint 1 800 esetben pedig oktatási vagy közintézményi domain szerepel, például .edu.hu, .suli.hu, .iskola.hu, .klik.hu.

Ez megerősíti, hogy a személyes és intézményi szintű azonosíthatóság gyakran kéz a kézben jár és a rendszerbe történő regisztráció során nem történt meg a kellő szeparáció a privát és hivatalos használat között.


Felhasználónév és teljes név egyezése

A rekordok mintegy 2%-ában a felhasználónév és a megadott teljes név egyértelműen kapcsolódik egymáshoz – azaz ugyanazt vagy annak felismerhető változatát tartalmazzák. Ez alátámasztja, hogy sok esetben nem történt meg az ajánlott „anonimizálás” és a felhasználók – akár tudatos döntés, akár tájékozatlanság nyomán – nyílt azonosíthatósággal hozták létre fiókjukat.
Mindez a Tehetségkapu tájékoztatójában szereplők ellenére:
”Sem a felhasználónév, sem az e-mail cím esetében nem szükséges, hogy személyes adatot tartalmazzon, így például az Ön nevét. Felhasználónevet Ön szabadon választ, azonban tekintettel arra, hogy felhasználónevét a nem belépett felhasználók is láthatják, a lehetséges beazonosítás elkerülése érdekében javasoljuk, hogy olyan felhasználónevet válasszon, mely az Ön kilétére utaló információt nem tartalmaz.”


Adatvédelmi tudatosság hiánya

A Tehetségkapu adatkezelési tájékoztatója világosan javasolta, hogy a felhasználónév ne tartalmazzon azonosításra alkalmas információt, mivel az mások számára is látható lehet. A kiszivárgott adatok alapján azonban sokan nem éltek ezzel a lehetőséggel – vagy nem érdekelte őket, de nagyob a valószínűsége, hogy inkább azért, mert nem ismerték a kockázatokat, vagy mert nem kaptak kellő támogatást azok megértéséhez.


Társadalmi és intézményi kitettség

A kiszivárgott adatok alapján a Tehetségkapu felhasználói között elsősorban diákok, kisebb arányban pedagógusok, közalkalmazottak és más oktatási intézményekhez köthető szereplők találhatók. A rendszer célcsoportjából következik, hogy a felhasználók nagy része 18 év alatti lehetett a regisztráció idején, ami adatvédelmi és etikai szempontból is különös súlyt ad az incidensnek.


Intézményi e-mail címek és hivatalos kitettség

A kiszivárgott állományban több száz olyan e-mail cím szerepel, amely hivatalos, intézményi domainhez tartozik, köztük gov.hu végződésűek is. Ezek közül az oh.gov.hu – az Oktatási Hivatal saját levelezési címtartománya – különösen gyakori. A hivatalos e-mail címek jelenléte azt jelzi, hogy az Oktatási Hivatal és más állami szervek munkatársainak adatai is kikerülhettek, így az incidens nemcsak adatvédelmi, hanem intézményi bizalomvesztési kockázatot is hordoz.

A kormányzati címek jellemzően névformátum alapján képződnek (pl. vezeteknev.keresztnev@domain.hu), így a személyazonosítás sok esetben közvetlenül lehetséges. Ez nemcsak az adott személyeket, hanem az általuk képviselt intézményeket is célkeresztbe állíthatja.


A digitális infrastruktúra kritikája

A Tehetségkapu működésével kapcsolatban már korábban is felmerültek súlyos aggályok.

-- 2022-ben a Telex számolt be róla, hogy az országos kompetenciamérés digitális tesztelése során a rendszer nem működött megfelelően, a belépés és a feladatok elérése sok diák számára ellehetetlenült.

-- Egy hónappal később hivatalosan is megerősítették, hogy a portált terheléses támadás érte.

-- A Jelen című lap kapcsolódó cikkében kiemelte a rendszer átláthatósági és technikai hiányosságait, valamint a digitális átállás előkészítetlenségét.

Ezek a korábbi események már jelezték, hogy a Tehetségkapu nem rendelkezik stabil technikai és bizalmi háttérrel, amely megalapozná a központi oktatási funkciók ellátását. Az adatszivárgás nem önálló jelenségként, hanem egy hosszabb ideje tapasztalható működési bizonytalanság tüneteként is értelmezhető.

https://www.cyberthreat.report/p/kiszivarogtattak-a-kompetenciameres

Előzmény

Válasz

A közösségi média és a dezinformáció Magyarországon
Feldolgozott részlet az "Árnyékban formált vélemények: Az orosz befolyásolás rejtett hálózata" nagy elemzésből (videó)
Ferenc Frész | Mar 15, 2025

A közösségi média ma a magyar lakosság egyik fő hírforrása, ami egyszerre jelent lehetőséget és veszélyt. A 2024–2025-ös időszak platformhasználati trendjei azt mutatják, hogy a magyarok információfogyasztása tovább tolódik az online terek felé, különösen a fiatalabb generációknál. Facebook, YouTube, Instagram és egyre inkább TikTok – ezek azok a felületek, ahol a legtöbben találkoznak hírekkel, véleményekkel. Ez azért fontos, mert a dezinformáció terjesztői is jelen vannak ezeken a platformokon, ahol a felhasználók figyelme megoszlik a magánjellegű és a hírjellegű tartalmak között, ennek következtében kevésbé kritikusak.

Magyarországon a közösségi médiában megjelenő dezinformációk több csatornán keresztül is terjedhetnek. Ezek egyrészt olyan tartalmak, amelyek a hazai médiatér narratíváiban is megjelenhetnek – különösen, ha azok visszhangozzák az általánosan elterjedt nemzetközi álhírek egyes elemeit, vagy ha bizonyos narratívák kevésbé kerülnek árnyalt bemutatásra. Másrészt a közösségi médiában közvetlenül is jelen vannak olyan magyar nyelvű oldalak és csoportok, amelyek tartalmaikban oroszpárti narratívákat közvetítenek. E csoportok tevékenységei gyakran a nyilvánosság kevésbé szabályozott rétegeiben, zárt közösségekben, illetve alternatív platformokon jelennek meg.

https://www.cyberthreat.report/p/a-kozossegi-media-es-a-dezinformacio

A teljes anyag itt olvasható:

https://www.cyberthreat.report/p/arnyekban-formalt-velemenyek-az-orosz

Válasz

55 ezer személyes adat, magyar diákok, tanárok és az Oktatási Hivatal dolgozóinak információi szivároghattak ki | 2025. március 27.

Csütörtökön meghackelték az Oktatási Hivatal Tehetségkapu nevű lebonyolító oldalát és megszerezték a felhasználók adatait. Az 55 ezer bejegyzésből álló listát aztán közzétették, az szabadon elérhető az interneten. Az Oktatási Hivatal elismerte, hogy támadás érte a rendszerüket és a hatósághoz fordultak.

Úgy tudjuk, először szerda délután tűnt fel az adatbázis egy erre szakosodott csoport körében. A hackerek egy beépülő alkalmazás sérülékenységét kihasználva fértek hozzá a magyar diákok, tanárok adatait tartalmazó rendszerhez és pár óra alatt letöltötték azt. Aztán az egészet kitették egy adatszivárgásokat gyűjtő fórum felületére.

Az adatbázis a 74202-es azonosítóig tart, de 55 ezer bejegyzést tartalmaz, így valószínűleg nem a teljes listát szerezték meg. Az Oktatási Hivatal csütörtök esti közleményében azt írta, „jelszó vagy egyéb személyes adat nem került ki a rendszerből”. Jelszavakat valóban nem tartalmaz a lista, de tartalmazza a felhasználók nevét, emailcímét, az oldalon használt azonosítójukat és a fiókjuk sorszámát. Ezek nem csak hogy személyes adatok, maga az Oktatási Hivatal is kitért ezeknek az adatoknak az érzékenységére a Tehetségkapuhoz tartozó Adatkezelési Tájékoztatóban. Ebben azt írták: „Sem a felhasználónév, sem az e-mail cím esetében nem szükséges, hogy személyes adatot tartalmazzon, így például az Ön nevét. Felhasználónevet Ön szabadon választ, azonban tekintettel arra, hogy felhasználónevét a nem belépett felhasználók is láthatják, a lehetséges beazonosítás elkerülése érdekében javasoljuk, hogy olyan felhasználónevet válasszon, mely az Ön kilétére utaló információt nem tartalmaz.” A listát átböngészve azonban abban valós neveknek tűnő bejegyzések, valós emailcímnek tűnő adatok és az Oktatási Hivatal dolgozóinak esetében hivatali emailcímek szerepelnek.

https://444.hu/2025/03/27/55-ezer-szemelyes-adat-magyar-diakok-tanarok-es-az-oktatasi-hivatal-dolgozoinak-informacioi-szivaroghattak-ki

Válasz

Észak-koreai csalót vett fel egy kiberbiztonságra fókuszáló oktatócég | 2024.07.24.

A csaló összesen négy videóinterjún vett részt, ahol megerősítették a személyazonosságát, a bekért adatok és hivatalos(nak hazudott) papírok alapján pedig lefuttattak egy háttérellenőrzést is. Sajnos azonban a digitálisan manipulált fotó, a lopott személyi adatok, valamint az egyéb elterelő trükkök összességében célt értek.

Az észak-koreai személy valószínűleg simán felvehette volna első fizetését is, amennyiben nem akar még többet kihozni a sikeréből, és nem kezd a vállalat által küldött Macre azon nyomban malware-t telepíteni. A hálozatot fenyegető kódot azonban észlelték a céges biztonságért felelős rendszerek. A csaló azt követően vált elérhetetlenné, hogy gyenge lábakon álló magyarázatát nem vették be a KnowBe4 biztonsági szakértői, akik azon melegében riasztották az FBI-t.

A történetnek ugyanakkor több pozitív olvasata akad.

Magára a cégre nézve szerencsés, hogy – legalábbis a vezérigazgatói beszámoló alapján – az észak-koreai csalónak nem sikerült egyetlen vállalati rendszert sem kompromittálnia, illetve semmiféle érzékeny belső adathoz nem jutott hozzá.

Nagyobb léptékben pedig mindenképpen hasznosnak bizonyulhat az átvert vállalat őszinte beszámolója, mivel az esetből mások remélhetőleg tanulnak, és még gondosabban járnak el az új munkatársak felvétele során. Ahogy az elismert kiberbiztonsági szakíró Brian Krebs megfogalmazta: "ha ez megtörténhet egy biztonságtudatossággal foglalkozó céggel, akkor bárkivel megtörténhet".
https://bitport.hu/eszak-koreai-csalot-vett-fel-egy-kiberbiztonsagra-fokuszalo-oktatoceg

Válasz