Hallgatni arany, avagy gondolatok az incidensek válságkommunikációjáról

média

A válságkommunikáció – amit szeretnék egy kicsit körbejárni – tankönyvi definíció alapján nem más, mint “a hatóságok, a szervezetek, a média és az érdekelt személyek, illetve csoportok közötti információcsere, amely a válságesemény előtt, alatt és után történik.” A most bemutatásra került esetekben a válságkommunikáció minden aspektusa vizsgálható. Ennek oka, hogy a mára már feledésbe merült, valójában azonban jelentős, és nemzetközi vetületű incidensek kapcsán azóta már lezárult a támadással célzott szervezetek kommunikációja. Illetve, az egyik esetben: el sem kezdődött soha.

A témakör apropóját az a hipotetikus kérdésfeltevésem adja, hogy mi a helyes út egy információbiztonsági incidens kommunikációja kapcsán (azon túlmenően persze, hogy egy bizonyos szinten túl minden eset szükségszerűen különböző, így a pontos stratégia is különböző kell, hogy legyen)? A megfelelő szintű absztrahálás után azonban eljuthatunk például olyan kérdésekig, hogy mi történik, ha például egy incidenst az egyik megtámadott elhallgat, míg egy ugyanolyan incidens miatt, egy másik áldozat, kommunikálni kényszerül.

Az egyik vizsgált esetben, a kibertámadással okozott adatvédelmi incidens nyomán hatósági eljárás indult, így az érintett szervezetek közötti válságkommunikáció is megismerhetővé vált a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) határozataiból. Ennek nyomán külön is megvizsgálható az akkor még épp csak megalakult NAIH kommunikációja, annak eltérései a később követett gyakorlattól.

Emellett bemutatom azt is, hogy az ismertté vált incidenssel egyidejűleg egy másik támadás is történt Magyarországon, amit viszont az érintett szervezet elhallgatott (vagy esetleg soha nem is észlelt, de erre a támadás jellegéből adódóan igen kevés esély van, hiszen defacelték is a támadók az oldalt), így a NAIH kockázatcsökkentő eljárásai hiányában immáron tíz éve elérhetők az akkor publikált személyes adatok.

A külvilág számára, legszélesebb körben, talán akkor vált ismertté a publikussá vált incidens, amikor a NAIH 2012. október 15-én kiadott egy közleményt arról, hogy “egy török hackercsoport feltörte a Fővárosi Ásványvíz -és Üdítőipari Zrt. (a FÁÜ Zrt.) által üzemeltetett http://3d.pepsi.hu/ promóciós internetoldalt, és több mint ötvenezer felhasználó személyes adatait (név, e-mail cím, telefonszám, születési dátum, a település neve, és a belépéshez használt jelszó) lopták el.”

pepsideface

Defacelt PEPSI oldal

Mint a közleményben olvasható: az adatokat nyilvánosságra hozták az interneten. Az oldalt feltörők az adatlopás mellett a Mohamed próféta elleni tiszteletlenség miatt is tiltakoztak defacelés formájában. A NAIH felhívja közleményében az oldalon regisztráltak figyelmét arra, hogy a regisztráció során használt jelszavukat, amennyiben azt más weboldalakon is használják, haladéktalanul változtassák meg, tekintettel arra, hogy a tudósítás szerint a regisztrációhoz használt jelszavakat nem titkosított módon tárolták a szerveren.

A közleményben a NAIH kijelentette, hogy a hackerek által elkövetett cselekmény az akkor hatályos Büntető Törvénykönyv (Btk. 300/C. §) alapján bűncselekménynek minősül. A NAIH rendelkezésére álló információk alapján akkor még nem volt világos, hogy a támadás célpontjául szolgáló személyes adatok miért voltak elérhetőek az interneten keresztül, illetve a jelszavakat miért nem titkosították.

A támadással érintett vállalat részéről egyetlen érdemi nyilatkozatot találtam:„A Pepsi.hu-t működtető Fővárosi Ásványvíz- és Üdítőipari Zrt. még szombat este elérhetetlenné tette a feltört nyereményjátékos oldalt, az [origo]-val pedig közölte, hogy a cég vizsgálatot indít az eset kapcsán.” Nem közölt tehát többet, mint ami az esetből nyilvánvalóan következik. Később, médiaérdeklődés hiányában pedig nem volt rákényszerülve a kommunikációs stratégiájának megváltoztatására sem.

Ez nem mondható el persze az adatvédelmi hatóság eljárásáról. Mivel a NAIH, milliós nagyságrendű adatvédelmi bírságot kiszabó határozata publikus, így ma már ismert, hogy a hatóság, és az érintett vállalatok között milyen kommunikációs stratégiák érvényesültek. Az incidens vonatkozásában valójában több cég is érintett volt, köztük pedig viszonylag bonyolult volt a felelősségi rendszer kinyomozása, különösen azért, mert a cégek nyilatkozatai – a véleményem szerint – egymásnak ellentmondóak voltak, és a igyekeztek a felelősséget egy másik szereplőnél kimutatni, miközben egyébként mindenben együttműködtek a hatósággal.

A támadás egyébként egy MAxn3y nevű hacker-hez kötődik, aki akkoriban a Turkish Ajan (Agent) Hacker Group tagja volt. Tevékenységét érdemes annyi fenntartással értékelni, hogy az általa használt „defacelő” kódrészlet és módszer akkoriban több hacker fórumon is elérhető volt. Ettől függetlenül minden fórum hozzá köti a magyar oldal feltörését. Akkoriban a tevékenysége azért kapott a fókuszt, mert a PEPSI mellett, viszonylag rövid idő alatt más „nyugati” multinacionális vállalat is a célkeresztjébe került. A kommunikációja kapcsán egy antiszemita-antiglobalista világnézetet valló tinédzser képe tárulhat elénk, feltéve, hogy hitelt adunk a vele készített interjúnak.

MAxn3y 2013-ban is aktív marad, így elmondható, hogy a NAIH várakozásaival ellentétben a török hatóságok nem tudtak gyorsan reagálni a problémára. Az év elején a Gigabyte techóriás után a Vodafone Iceland következett. Tevékenységéről elmondható, hogy a „csúcson” hagyta abba: a Vodafone feltörésével okozta talán a legsúlyosabb adatszivárgást. Ezt követően azonban későbbi tevékenységéről nincs adat, így feltehetőleg valamilyen okból felhagyott ilyen irányú tevékenységével, vagy más néven folytatta „karrierjét.”

lg

Defacelt LG oldal

Ami azonban elkerülte a hazai média és a magyar hatóság figyelmét az az, hogy 2012 végén nem csak a PEPSI-hez köthető weboldalt törték fel hacker-ek, hanem pár héttel később egy, a magyar LG-hez tartozó  weboldalt is. Az esetet ismertette a  databreaches.net, kiemelve, hogy az ugyancsak defacelt oldalt már helyreállították. A támadás konkrét célpontja a http://lgmobile-webaruhaz.lg.hu/ weboldal volt, de a defacelés mellett az adatbázisban található személyes adatokat is nyilvánosságra hozták.

A problémát ebben az esetben természetesen nem a médiafigyelem hiánya jelenti, hanem talán az, hogy a NAIH a PEPSI-hez köthető weboldal feltörését követően mindent megtett annak érdekében, hogy a személyes adatokat listázó oldalak távolítsák el az adatokat. Ez nyilvánvalóan szélmalomharc, de a korábban már idézett határozatból kiderül, hogy bár az ellopott személyes adatok a http://leaks-db.hacktalk.net/node/20 címen, és más oldalakon (pastebin.com; bindrand.com; pastemine.com) keresztül is elérhetőek voltak, azonban ezek törlése iránti intézkedés végül látszólag hatékony volt, a hatóság eljárásának megindításakor pedig már nem voltak elérhetőek az adatok ezeken a honlapokon (amit talán értékelt is a büntetés kiszabásakor).

Publikált LG adatok

Mivel itt ilyen folyamat nem zajlott, ezért az elmúlt tíz évben, és a mai napig elérhetők az LG-hez tartozó oldalról ellopott személyes adatok, olyan oldalakon is, amelyekkel szemben egyébként a hatóság eredményesen járt el a PEPSI vonatkozásában. Érdekesség, hogy az így publikussá vált HASH adatok alapján néhány, feltehetőleg privilegizált jogosultsággal rendelkező személy is gyenge minőségű jelszót használt.

Gyenge jelszó

Az érem másik oldala azonban az, hogy az internet nem felejt, és bár a NAIH mindent megtett az adatok elérhetetlenné tételében, valójában a „PEPSI adatbázis” is (legalább részben) elérhető maradt az interneten, és tekintettel arra, hogy a nyereményjátékra regisztráltak születési évét is tartalmazza, így az valójában soha nem fog teljes egészében “elévülni”, hiszen ezen az adaton lehetetlen változtatni.

pepsi

Publikált PEPSI adatok

Nehéz általános igazságot tenni a két kommunikációs “stratégia” között, de az talán kijelenthető, hogy az eset nem hagyott különösebb foltot a PEPSI-hez köthető vállalkozások reputációján, azok nem kényszerültek a szükségesnél nagyobb mértékű kommunikációs stratégiák kidolgozására és a kiszabott bírság sem volt talán jelentős (persze, még évekkel a GDPR előtt vagyunk), miközben az érintett cégek együttműködők voltak minden tekintetben a hatósággal, amely részben sikeresen járt el az ellopott személyes adatok védelme érdekében.

Az LG-hez köthető esetben ilyen eljárás nem történt, így az adatok folyamatosan elérhetők az interneten, és az adatvédelmi hatóság sem tudott eljárni az adatok eltávolítása érdekében. A tanulság azonban a véleményem szerint mégsem ez, hiszen tíz évvel később rá lehet találni a PEPSI adatbázis részleteire is. Hanem az, hogy a digitális térbe kikerült adatok, ott megjelenő incidensek esetében soha nem lehet azt feltételezni teljes bizonyossággal, hogy annak nem maradt nyoma valahol, illetve az információ ne lehetne valakinél elmentve. Ezért erre tekintettel, illetve ezt is figyelembe véve kell a kommunikációs stratégiákat is kialakítani.

Érdekes lehet még