Már a szervezett bűnözők – és a terroristák – kedvenc internetes „piacterén”, a dark weben (sötét internet) kínálhatják eladásra azt a mintegy 8 ezer ember személyes adatait tartalmazó információhalmazt, amelyet hekkerek loptak el a Budapesti Közlekedési Központ (BKK) két, ügyfélszolgálati számítógépes rendszerének feltörésével.
Júliusban előbb a BKK bevezetésre váró e-jegyrendszerét törte fel ismeretlen hekker, aki ellopta mintegy ötezer felhasználó személyes adatait, amelynek másolatát eljuttatta a 24.hu című portálnak. A portál azonnal továbbította az adatokat a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH). Néhány nappal később egy hekker feltörte a BKK Bubi – kerékpárkölcsönző – rendszerét, ellopva mintegy háromezer felhasználó személyes adatait, amelyek másolatát szintén a 24.hunak továbbította. A portál – törvényi kötelezettségének megfelelően – ismét a NAIH-nak adta át a kapott adatokat.
A kiberbűnözés elleni szakértőnk szerint az ellopott személyes adatok kelendő cikkek a dark weben, hiszen közöttük vannak például a felhasználók e-mail címei is, amelyek a kéretlen hirdetések – spamek – terjesztőinek számítanak értéknek. Egy-egy többezres e-mail listához már néhány ezer forintnyi virtuális pénzért (bitcoinért) hozzá lehet jutni. A dark web és a bitcoin közös jellemzője, hogy szinte visszavezethetetlen az eredeti felhasználó, ugyanis akár több ezer számítógépen keresztül folyik a forgalmazás.
A kiberbűnözők képesek tudtunk és engedélyünk nélkül – például az e-mail címre küldött ártatlannak tűnő üzenetben elrejtett vírussal – használatba venni számítógépünk teljesítményét. Megfelelő számú gép teljesítményét aztán sorba kapcsolva felhasználható a rendszer például túlterheléses támadásokra is, hiszen minél nagyobb a támadó gépkapacitása, annál nagyobb károkat tud okozni. (Mint azt szombaton megírtuk, a dark weben a túlterheléses támadásokhoz is beszerezhető kész algoritmus.)
Az ellopott személyes adatok hamis iratok készítésére is felhasználhatók. Ugyanakkor a BKK-tól lopott adatok és más adatbázisból – például a Facebookról – szerzett adatokkal konkrétan beazonosítható az adott személy, megismerhetők például a gyenge pontjai, ami alapján megzsarolható, vagy éppen kideríthető a lakcíme, életkörülményei, életminősége, ami jó tipp lehet például betörők számára. A szakértő szerint vannak a szervezett bűnözésben erre szakosodott bűnözők.
Péterfalvi Attila adatvédelmi biztos mindenesetre hatósági eljárást indított a BKK-nál történt támadások miatt. A hatóság vizsgálja, hogy a BKK és a T-Systems Magyarország teljesítette-e az információs önrendelkezési jogról és az információszabadságról szóló törvényben szereplő kötelezettségeket, különösen az informatikai rendszerekkel összefüggésben az adatbiztonsági követelményeket.
Felelősség megállapítása esetén azonban mindössze 20 millió forint büntetést tudnak kiróni. Jövőre azonban az Európai Unió vonatkozó szabályainak szigorítása következtében a maximálisan kiszabható büntetés 10 millió euró (több mint 3 milliárd forint), egyes esetekben ennek a duplája is lehet. A BKK-támadáshoz hasonló eseményeket pedig 72 órán belül kötelező lesz jelenteni a NAIH-nak, ahol komoly létszámbővítéssel készülnek a bejelentési dömpingre.