” A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) a Demokratikus Koalíció (székhely: 1132 Budapest, Victor Hugo u. 11-15.) (a továbbiakban: Ügyfél) adatkezelését érintő adatvédelmi incidenssel kapcsolatban 2018. november 21. napján megindított
adatvédelmi hatósági eljárásban
1) megállapítja, hogy
a) az Ügyfél nem tett eleget az általános adatvédelmi rendelet 33. cikke alapján fennálló incidensbejelentési kötelezettségének,
b) az Ügyfél nem tett eleget az általános adatvédelmi rendelet 34. cikke alapján fennálló érintetti tájékoztatási kötelezettségének sem a bekövetkezett adatvédelmi incidenssel kapcsolatban,
2) utasítja az Ügyfelet, hogy a jelen határozat véglegessé válásától számított 15 napon belül
a) tájékoztassa az érintetteket a bekövetkezett incidens tényéről és körülményeiről, az érintett személyes adatok köréről és az elhárítás érdekében megtett intézkedésekről,
b) rögzítse az adatvédelmi incidens tényét, annak hatásait és az orvoslására tett intézkedéseket az általános adatvédelmi rendelet 33. cikk (5) bekezdése alapján vezetett
nyilvántartásában,
3) az 1) pont szerinti jogsértés miatt kötelezi az Ügyfelet, hogy a jelen határozat véglegessé válásától számított 30 napon belül fizessen meg
11.000.000 Ft adatvédelmi bírságot.
…
A támadást végrehajtó hacker honlapján (a fent hivatkozott blogbejegyzésben) elérhető információk alapján a támadás egy a honlap beállításaiból adódó adatbázis-sérülékenység miatt valósulhatott meg, amely abban állt, hogy a támadó képes volt a weboldalon át kapcsolatba lépni közvetlenül az adatbázissal, így annak utasításokat adhatott.
Az Ügyfél szerint a sérülékenységet, amelyen keresztül hozzá tudott férni a támadó a tesztadatbázishoz, a honlapot érintő egyik átirányítás hibája okozta. Ennek a hibának a lényege, hogy az Ügyfél által a honlap üzemeltetésére is használt virtuális hosting3 szolgáltatás (röviden:
vhost) elvárt működése, hogy a dkp.hu (fő)domaint átirányítja a web.dkp.hu aldomainre. Itt a kiszolgáló szerver redirect (átirányítás) parancsában az incidens bekövetkezésének idején nem volt megfelelően szabályozva, hogy a dkp.hu domain mögé írt egyéb útvonalak is átirányításra kerüljenek. A dkp.hu (fő)domain mögé – akár manuálisan – írt egyéb útvonalakra mutató kérések alapértelmezetten minden esetben a vhost könyvtárra mutattak. A kiszolgáló az ilyen egyéb kérések teljesítésénél azt vette alapértelmezettnek, ami a listában az első helyen szerepel. A listában pedig első helyen egy 2013-as tesztrendszer fájljai voltak, benne a felhasználói adatokkal.
Amennyiben tehát egy támadó a dkp.hu (fő)domain mögé egyéb útvonalra mutató kérést írt be, úgy a hibás beállításnak köszönhetően hozzá tudott férni a nyilvánosságra hozott felhasználói adatbázist is tartalmazó fájlokhoz.
Az Ügyfél nem tudta azt pontosan meghatározni, hogy maga a sérülékenység mióta állt fent a rendszerében. A vhost konfigurációs fájljai 2018. augusztus 23-án (azt követően, hogy az Ügyfél saját maga által is elismerten értesült az incidensről) 09:15-kor kerültek oly módon módosításra, hogy a fájlokhoz már ne lehessen kívülről hozzáférni. Az Ügyfél nyilatkozata szerint a hiba ezen javítását követően a szakemberei segítségével átvizsgálta a rendszert, további olyan jellegű hibát,
amely a hacker blogbejegyzésében is ismertetésre került, már nem lehetett a javítást követően generálni.
A támadónak a sérülékenység miatt sikerült kinyernie az datbázisszerveren található, a tesztrendszerben tárolt összes felhasználó adatát. A támadó az általa használt parancsot is publikálta. A publikált parancs segítségével, egy informatikai szempontból alacsonyan képzett ember számára is lehetőség nyílt így arra, hogy kihasználhassa ezt a hibát, és az adatbázist
megszerezhesse.
A nyilvánosságra került adatbázis tartalmazza a regisztrált felhasználók teljes nevét, a regisztráció során megadott felhasználónevét, e-mail címét, illetve – titkosítva – a belépéshez szükséges jelszót.
A jelszavak az adatbázis szerveren MD5 elnevezésű algoritmussal voltak elkódolva (titkosítva), amely titkosítás azonban nagyon gyenge védelmet jelent, mivel percek alatt vissza lehet fejteni 1-1 jelszót, akár az interneten bárki számára elérhető, ingyenes weboldalakat és alkalmazásokat
használva, vagy akár erre megírt célprogram segítségével.
…”