Belső levelezés tárja fel, hogyan próbálta a Tisza Párt eltüntetni, majd eltussolni az adatszivárgást

Az elmúlt hónapok legnagyobb adatvédelmi botrányát robbantotta ki a Tisza Párt mobilapplikációja. A Tisza Világ nevű alkalmazást szeptember 9-én indították el azzal a céllal, hogy a párt szimpatizánsait egy közösségi platformra terelje, ahol eseményekről, kampányokról és politikai üzenetekről kaphatnak információt. A megjelenés után néhány nappal viszont súlyos biztonsági problémák léptek fel, amelyek következményei még súlyosabbnak tűnnek, mint azt korábban bárki gondolta volna.

Az Index október elején számolt be először arról, hogy a Tisza Világ rendszeréből mintegy húszezer felhasználó személyes adatai – köztük e-mail-címek, telefonszámok és felhasználói azonosítók – kerültek illetéktelen kezekbe. A portál szerint az alkalmazást ukrán fejlesztők készítették, akik nemcsak a programozásban, hanem az üzemeltetésben is részt vettek, ami biztonsági kockázatokat vetett fel.

Magyar Péter és a Tisza Párt azonnal cáfolta az ukrán szálakat. Közleményükben azt állították, hogy „titkosszolgálati akció” zajlik ellenük, és hogy „egy kormányzati háttérrel rendelkező kém” próbálta belülről megbénítani az informatikai rendszert. A párt szerint a probléma megszűnt a „beépített embert” szeptember 12-ei eltávolításával, miközben nem mondtak igazat arról, mi történt valójában.

A LeakBase-botrány és a kétszázezres adatbázis

Október végén újabb, sokkal súlyosabb fejlemény történt, amikor a LeakBase.la nevű nemzetközi adatgyűjtő oldalon egy hatalmas, kétszázezer nevet tartalmazó adatbázisra mutató hivatkozás jelent meg.

A listát a fájl elnevezése és tartalma alapján egyértelműen a Tisza Világ felhasználóihoz kötötték. Néhány órával később a Prohardver.hu technológiai fórumon is megjelent egy bejegyzés, amely részletesen elemezte a szivárgás tartalmát. A posztot azonban rövid időn belül eltávolították, majd ugyanígy tűnt el egy, a témát tárgyaló Reddit-bejegyzés is.

A Magyar Nemzet újságírója kapcsolatba lépett egy forrással, aki a „APP MENTOR” nevű, tiszás informatikusokat és segítőket tömörítő zárt Signal-csoport tagja.

A kiszivárgott beszélgetések szerint a párt egyik vezető fejlesztője, Rosta Bendegúz, elismerte, hogy az adatbázis október 5-én szivárgott ki, nem pedig szeptember közepén, ahogyan azt korábban a Tisza Párt vezetése állította.

„A hír igaz, tegnap este volt egy szivárgás, sikerült kemény munkával eltávolíttatni mindenhonnan, de ezek szerint gyorsabban voltak (…) Azt még nem tudjuk, hogy hogyan szivárgott ki az adat október ötödikén, talán holnap reggel okosabbak leszünk” – ismerte el a párt egyik vezető fejlesztője a csoportban.

A résztvevők megdöbbenéssel fogadták a hírt és többen megkérdezték, hogy belső szivárogtatásról vagy külső támadásról van-e szó. A fejlesztő válasza és a dátum azonban különösen kellemetlen annak fényében, hogy Magyar Péter a nyilvánosság előtt ekkor már az orosz titkosszolgálatok által irányított nemzetközi hekkertámadásról beszélt, miközben a belső körben még semmilyen bizonyíték nem volt erre.

Belharc és bizalmi válság a Tisza Párton belül

A beszélgetésekből az is kiderül, hogy a párton belül felmerült, hogy ha a valódi időpont nyilvánosságra kerül, akkor az adatvédelmi hatóság (NAIH) súlyos büntetést szabhat ki a pártra, mivel az incidensről nem tettek bejelentést időben. „Ezt az október 5-öt nehogy közölje valaki hivatalból. A NAIH majd megint megbírságol minket milliókra” – írta az egyik résztvevő.

A beszélgetésekből kirajzolódik, hogy a párt kommunikációs és informatikai csapata tudatosan próbálta eltüntetni a nyomokat.

Rosta Bendegúz szerint a Redditről és a Prohardverről is sikerült töröltetni a bejegyzéseket. Előbbit egy „Tisza-sziget-tag” intézte, utóbbit pedig ő maga, ismeretségi alapon. A külföldi adatgyűjtő oldalakról is eltávolíttatták a linkeket, de a párt vezető fejlesztője elismerte, hogy ami egyszer kikerült, az kint is marad.

A zárt csoportban több tag csalódottságának adott hangot. Volt, aki attól tartott, hogy a botrány visszaveti a párt szervezését, mert az emberek a jövőben nem adják majd meg a személyes adataikat. Mások egyenesen gáznak és amatőrnek nevezték a Tisza Világ alkalmazást.

Magyar Péter a nyilvánosságban továbbra is hevesen tagadja, hogy a Tisza hibázott volna, ezáltal pedig a belső elégedetlenség is tovább nőhet.

A Tisza Párt elnöke Facebook-bejegyzéseiben és sajtónyilatkozataiban is arról beszélt, hogy „orosz hekkerek” támadták meg a rendszert, és hogy a párt „heroikus küzdelmet” folytat a kibertámadások ellen. Ezzel szemben a belső beszélgetések tanúsága szerint a Tisza Párt informatikusai nem észlelték időben a kiszivárgást, és csak hetekkel később szembesültek annak mértékével.

hirado.hu

Kiemelt kép: Magyar Péter, a Tisza Párt elnöke – Forrás: M1