Újabb adatszivárgás miatt vizsgálja a Megafont az adatvédelmi hatóság

A Megafon oldalán védtelenül elérhetőek voltak a hozzájuk jelentkezők személyes adatai, mert az oldal a kódjában anélkül listázta a feltöltött fájlokat, hogy ehhez bármilyen hitelesítést kért volna – állította egy pénteken közzétett bejegyzés a Redditen.

A hiba miatt szabadon láthatóvá vált fájlnevek közül többen olvasható volt a jelentkezők neve, ami már önmagában is problémás lehet, hiszen azonosítható, ki jelentkezett a kormányközeli üzeneteket a közösségi médiában közvetítő influenszerképzőhöz, de némelyik fájlt le is lehetett tölteni. A fájlok mostanra elérhetetlenné váltak, de a Wayback Machine a korábbi elérhetőségüket és nevüket megőrizte, így mi is igazolni tudtuk a Reddit-bejegyzés állításait.

Az ügyben megkerestük a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH). Arra voltunk kíváncsiak, hogy érkezett-e hozzájuk bejelentés a potenciális adatvédelmi incidensről, illetve indult-e vizsgálat.

„A Megafon Digitális Inkubátor Központ Nonprofit Korlátolt Felelősségű Társaság a megkeresésével kapcsolatos incidenst érintően szakaszos incidens bejelentést tett, amely vizsgálatára a hatóság hatósági ellenőrzést indít”

– írta megkeresésünkre a hatóság csütörtökön, hozzátéve, hogy az ügy lezárásáig további tájékoztatást nem nyújt.

Nem ez az első, nyilvánosságra került adatszivárgás a Megafonnál. Két évvel ezelőtt a Telex írta meg, hogy kiszivárogtak a szervezet képzéseire jelentkezők adatai, a jelentkezők adatbázisára egy informatikai hiba miatt egy egyszerű Google-kereséssel bárki rátalálhatott. Az akkori ügy érdekessége az volt, hogy az elvileg független influenszerképző képzéseire számos aktív kormánypárti politikus, illetve politikusnak dolgozó beosztott jelentkezett, köztük polgármesterek, képviselők, politikusi Facebook-oldalak kezelői, de még egy magas szintű kormánytag felesége is. Fény derült arra is, hogy fideszes önkormányzati képviselők vagy munkatársaik állnak egy-egy nagy elérésű kormánybarát facebookos mémoldal mögött.

A NAIH a 2024 januárjában nyilvánosságra került esetben is vizsgálatot indított, amely az év novemberében zárult le. A hatóság akkor megállapította, hogy a Megafon nem biztosította megfelelően a weboldalán a fejlesztői tesztkörnyezetet, valamint a webszerver konfigurációját, ami adatvédelmi incidenshez, személyes adatok szivárgásához vezetett. Emiatt figyelmeztették a szervezet mögött álló Megafon Digitális Inkubátor Központ Nonprofit Kft.-t, és jelezték, hogy ha újabb adatvédelmi jogsértés történik, ezt a jogsértést fokozott súllyal veszik majd figyelembe a jogkövetkezmények meghatározásakor.

Az újabb adatszivárgás miatt a Megafont is kerestük, többek között azt kérdeztük tőlük, hogy hány embert érint az adatszivárgás, és pontosan milyen adatok kerülhettek ki. Cikkünk megjelenéséig nem kaptunk választ, de a véletlenül közzétett adatokat elérhetetlenné tették.