A GDPR Hasznos Holmik mai részében a sütiket (cookie) nézzük meg egy kicsit közelebbről.

Nem csak azért, mert mindenkit rohadtul idegesítenek a felbukkanó cookie-szabályok (amiket amúgy nem olvasnak el, általános tény, hogy egy weblap legkevesebb látogatót gyűjtő két oldala a cookie szabályokról, illetve az adatvédelemről rendelkező két oldal), hanem azért, mert ez egy olyan pont, amelyet egy jogi egyetem melletti romkocsmából toborzott, egyszeri NAIH auditor-gyakornok kényelmesen, az irodában üldögélve is viszonylag egyszerűen ellenőrizni tud.

Szóval mi az a süti és miért kell nekünk foglalkozni vele?

Egy random cookie-szabályzatból idézve: „A cookie (továbbiakban süti) egy rövid szöveges adat, amely segít a felhasználó beállításainak mentésében. Ezt a weboldal küldi el az Ön böngészőjének, majd mikor az adott oldalt újra meglátogatja, a böngésző visszaküldi azt, és a weboldalon elérhetővé válnak a korábbi adatok, beállítások.”

Szóval a lényeg, hogy a sütiket a weboldalak generálják és tárolják le a látogató munkaállomására.

Ez a tény azért fontos, mert a 2003. évi C. törvény az elektronikus hírközlésről is már rendelkezett arról, hogy a felhasználó eszközén csak a felhasználó teljeskörű tájékoztatása után, a felhasználó beleegyezésével lehet csak adatot letárolni.

(155/4) Egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű - az adatkezelés céljára is kiterjedő - tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni.

Szóval ez sem újkeletű dolog, ez a módosítás 2011-ben került bele a törvénybe, ezt sem a GDPR „találta ki”.

Új elemként jön be a képbe viszont a 2012/4-es adatvédelmi munkacsoport vélemény, amely kicsit pontosította és nevén nevezete a sütiket, és ajánlást tett arra, hogy mely sütik tárolásához szükséges és melyhez nem szükséges a felhasználó hozzájárulása.

Végül a süti-helyzet tisztázására a NAIH 2017-ben kiadott egy tájékoztatót (webáruházak számára), amelyben megpróbálja tisztába tenni a kérdéskört. 

A süti-szörny lecsap

Ami a NAIH véleményben újdonság (és amellyel nemigazán törődik senki), hogy az olyan sütik esetében, amelynek tárolásához a felhasználó hozzájárulása szükséges (nagyjából a session és biztonsági sütiken kívül mindegyik), minden egyes sütihez be kell kérni a hozzájárulást.

Azaz, a jelenlegi cookie-szabályok és tájékoztatók 90%-a hibás: ugyanis egyszerre, egy lépésben kéri meg az összes sütire a felhasználó beleegyezését, ez pedig a NAIH szerint nem megfelelő.

„Ezzel kapcsolatban fontos kiemelni, hogy a hozzájárulást a webáruház üzemeltetőjének sütinként külön-külön kell beszereznie. Nem fogadható el az a megoldás, ha a webáruház üzemeltetője valamennyi, a felhasználó hozzájárulását igénylő sütihez egyszerre kér egyetlen hozzájárulást.„

Namost ez azért jó, mert ha egy kicsit fejlettebb weboldal például 31db sütit akar tárolni a felhasználó munkaállomásán, akkor ezek szerint 31 hozzájárulás szükséges a sütik tárolásához – el lehet képzelni, hogy mennyire fogja ezt a felhasználó szeretni, másrészt pedig mennyire nehéz ezt karbantartani a weboldal üzemeltetője részéről.

Tapasztalat, hogy a weboldalak üzemeltetőinek többnyire lövésük sincs arról, hogy az érvényes cookie-szabályzat kiadása óta az oldalon bekövetkezett fejlesztések, változások (pl. Sanyi, nincs valami chat program, amit be lehetne integrálni?!) milyen új sütiket akarnak kitárolni a látogató munkaállomására. Akkor hogyan is akarják bekérni a hozzájárulást?

Erre a problémára mutatunk egy jó megoldást a következő videóban.

Cookiebot - sütik feltérképezése és dinamikus süti-szabályok, tájékoztatók és hozzájárulások létrehozása

A videót itt tudjátok megnézni, és persze, iratkozzatok fel a csatornára. 

Néha nem kell feltörni semmilyen szolgáltatást ahhoz, hogy felhasználó neveket és jelszavakat gyűjtsön az, aki ilyenben leli örömét.

Erre jó példa a Trello – közkedvelt én-nem-is-tudom-mi menedzsment megoldás: de annyi tuti, hogy nem feltétlenül arra találták ki, hogy a nyitott oldalain jelszavakat tároljanak.

Alighanem a Trello táblák gazdái jobban tennék, ha valahogyan máshogy tennék mindezt, mert, hogy a publikus kártyákban nem túl célszerű, arra itt van a bizonyíték:

A Google segítségével és némi kereséssel hekkelés nélkül is lehet felhasználói adatokat gyűjteni - amelyeket a felelőtlen Trelló felhasználók saját maguk szivárogtatnak ki. 

A múlt héten közreadott kiszivárgott hozzáférésekkel kapcsolatos posztunk igen népszerű lett, talán annak is köszönhetően, hogy igen masszív magyar érintettségekkel is büszkélkedett.  

Kis emlékeztető, egy orosz fórumon felbukkant, 404millió rekordos, kiszivárgott felhasználói adatokat tartalmazó listát vizsgáltunk meg, amelyben 1,5 millió magyar felhasználói rekordot találtunk, illetve több olyan magyar weboldalt, amelyből felhasználói adatokat loptak el.

Most egy picit visszamegyünk az időben, na nem túl sokat, csak úgy fél évet.

2017 decemberében felbukkant egy olyan 1.4 milliárd rekordot tartalmazó kompiláció, amelyet a breach adatokat vizsgálók, illetve az Account Takeover (ATO, kompromittált felhasználói adatok felderítése) területén motorozók ma alapműnek tekintenek, és amely évekre visszamenőleg tartalmazza a nagyobb adatszivárgások adatait.

A kombólista („Combolist of 1.4 Billion Credentials”) legnagyobb hátránya (mint minden kombólistának), hogy nem tartalmazza a forrásokat, azaz, mely felhasználói adatok pontosan honnan származnak. Emiatt a források visszaazonosítása igen nehézkes, a legtöbben egyébként nem is foglalkoznak vele, elterjedt gyakorlat, hogy önálló forrásként kezelik (annak ellenére, hogy mindenki tudja, hogy sokezer forrásból származó információkat tartalmaz).

A cucc mérete 40GB körül van, szóval a feldolgozása sem túl egyszerű, de szerintem mindenképpen érdemes vele legalább annyit foglalkozni, hogy megnézzük, milyen magyar érintettségeket tartalmaz, illetőleg, ha a magyar érdekeltségeket összehasonlítjuk a múltheti kompliációval, hogyan néz ki a statisztika és mekkora egyezőséget mutat a múltheti adatokkal.

Több, mint kétmillió magyar felhasználói adatrekord

Leszűrve a majdnem 1,4 milliárd rekordot, a 2017-es kombólista 2.404.244, azaz majdnem két és fél millió ".hu" végződésű email címet és hozzátartozó jelszót vagy jelszó hasht tartalmaz.

Ennél lényegesen több magyar felhasználói rekord szerepelhet az adatbázisban, nyilván a "gmail.com" és más, nem ".hu" végződésű rekord azonosítása elég macerás, szerintem nyugodtan számolhatunk 1,3-mas szorzóval: azaz a 2017-es lista szerintem legalább 3.1 millió magyar érintettségű felhasználói rekordot tartalmaz.

Egyedi rekordok kérdése

Sokszor felmerül a kérdés, hogy rekordokról beszélünk és nem felhasználókról, azaz, hogy mégis hány egyedi felhasználó érintett a breach adatokban?

A kérdésre nehéz válaszolni mivel kombólistáról van szó, ahol a források nem ismertek.

A felhasználók előszeretettel használják ugyanazt a felhasználó név és jelszó párost több rendszerben is, így, ha két rendszerből is kiszivárogtak az adatok, a kombólistában is esélyes, hogy kétszer is ugyanaz az adat fog szerepelni, így a forrás ismerete nélkül a rekord nemigazán mondható sima duplázásnak (hisz valójában két breach eseményből származik a két rekord).

(Arra természetesen van lehetőség, hogy egyedi felhasználókat nézzünk, hiszen az email címek deduplikálásával megkapjuk az egyedi felhasználószámot, de semmiképpen nem az egyedi breach eseményekkel lesz ez egyenlő.)

Ha rekordszinten összehasonlítjuk a két listát, 676 121 egyező ('.hu') rekordot kapunk, tehát a két listának közel 30%-os metszete van, azaz 676 ezer olyan rekord van, amely mindkét listában is megtalálható, illetve több, mint 700 ezer olyan rekord található a „Combolist of 1.4 Billion Credentials” két és fél milliós ".hu" blokkjában, amely viszont a múltheti listában egyszer sem szerepel.

A „Combolist of 1.4 Billion Credentials” kombólista közel 1,8 millió egyedi, ".hu" végű email címet (felhasználó név), míg az „orosz fórum lista” másfélmillió .hu végű rekordja „csak” 833 ezer egyedi email címet (felhasználó név) tartalmaz.

10 millió breach rekord országa

A két listából azért már sejthető a magyar ATO helyzet, de azért a sejtés helyett nézzünk konkrét adatokat is.

A mennyiségek bemutatásához egy olyan listát használunk, amelyhez egy ATO felderítéssel foglalkozó szervezet jóvoltából jutottunk hozzá, és amely listában a 100 legtöbb breach rekorddal rendelkező ".hu" domain található.

A lista nem a feltört oldalakat és szolgáltatásokat tartalmazza, hanem olyan felhasználói rekordokat (csak a számosság!), amelyek valamilyen külső szolgáltatásból szivárogtak ki és ahol a felhasználónévben az adott domain cím szerepel.

A 100-as lista összesen 9,7 millió magyar felhasználói breach rekordot tartalmaz, tehát ez a 100 domain együttesen összesen 9,7 millió kiszivárgott felhasználói rekorddal rendelkezik.

• A „TOP-20” kategóriában kizárólag hazai Internet szolgáltatók vagy levelezési szolgáltatást nyújtók találhatók.
• A „TOP-1” egy hazai szolgáltató, 5,4 millió rekorddal.
• A „TOP-5” kategória tagjai együtt 8,6 millió rekordot jelentenek, ők adják a TOP-100 lista 9,7 milliós mennyiségének 89%-át.
• Ha a „TOP-20” kategóriába tartozókat összeszámoljuk, 9,3 millió breach rekordról beszélhetünk, ez a teljes TOP-100 mennyiség 96,3%-a.
• A lista 100. helyén tanyázó domainhez már „csak” 1623 kiszivárgott adatrekord tartozik.

...és már csak 10 nap van a GDPR-ig :)

Nem tudom leértünk-e már a verem legaljára, vagy még innen is van lejjebb?

"Az auditot szakértőink akár már 100 ezer forinttól vállalják."

Ugyanitt bablevesért szpunk.

És még azt mondják, hogy a GDPR megfelelőség sokba kerül, mennyi költség és idő! 

A GDPR megfelelőség akár lehet nagyon egyszerű is, egyetlen fillérbe sem kerül, és kb. 2 perces munkával megoldható.

Azt mondod, hogy hazudok?

Pedig hidd el, megoldható, bízz bennem (bár azért figyelmedbe ajánlom a Vagyongyűjtés szabályai 47-es pontját: „Az ingyen tanács ritkán olcsó”).

De ha nem hiszed, jöjjön egy kiváló, low-cost GDPR megfelelőség példája. A jobjet.com nemzetközi álláskereső/közvetítő megoldásával kiérdemelte a 101%-os GDPR megfelelőséget. 

Íme:

Na ugye!

Az orosz fórumon néhány napja felfedezett, úgynevezett kombó lista feldolgozása és vizsgálata még mindig folyamatban van, de annyi már biztosan állítható, a (csaknem) teljes lista 404 millió felhasználói rekordot, és ebben legkevesebb másfélmillió magyar (.hu domain végződésű) felhasználói rekordot tartalmaz. 

Ennél a tényleges magyar érintettek száma jóval magasabb lehet, hiszen a magyar személyek által használt gmail.com, outlook.com és más, nem .hu végződésű emailcím és jelszó (vagy hash) párost azonosítani meglehetősen nehézkes, de alighanem a másfélmilliós szám is éppen elég sokkoló (még akkor is, ha ez egy historikus lista, azaz jópár évre visszamenőleg tartalmaz adatokat). 

Ugyan voltak olyan fájlok, amiket nem lehetett letölteni, vagy kibontani, de az eddig feldolgozott listák alapján így néz ki a statisztika:

Elég mellbevágók ezek a számok, de ha azt nézzük, hogy kb. 8-10 milliárd kompromittált hozzáférés kering publikus vagy zárt közösségekben, akkor ez igazából még 10% sincs :)

A SpyCloud ATO rendszere, 2018.05.10.

A régebbi DropBox a Zoosk és a Badoo randioldalak listája hiányos, azaz csak a felhasználó neveket és jelszavakat vagy jelszó hash-eket tartalmazza, a listában nem szerepelnek a további adatok (preferenciák, ki mit szeret, lakcím, elérhetőségek, stb.). Ezek az adatok is természetesen elérhetők, csak nem ezekben a listákban. 

Úgy gondolom, hogy az Account Takeover (ATO) terület, azaz a kompromittált hozzáférések felderítése, monitorozása és az érintettek riasztása nagyon komoly szerepet fog kapni a közeljövőben. Nem csak a GDPR miatt, hanem azért, mert egyre több alkalmazás van, de a felhasználói szokások szinte semmit sem változtak, ennek bizonyítására elegendő csak a jelszavakat megnézni :)

Magyar oldalak története

Mind a hét azonosítható magyar oldalt értesítettem, a fogadtatás - ha nem is örömteli, de kedvező volt, meg is kezdték az esemény kezelését.

A kszemle.hu elmondta, hogy egyrészt kiértesítették a felhasználókat a történtekről, és felkérték őket a jelszócserére. Emellett a fejlesztők atnézték a rendszert, és azonosították, hogy 2016 karácsonyán került sor az incidensre, egy SQL hibán keresztül húzták le az adatbázist. Az oldal szerint a fejlesztők be is zárták ezt a rést, valamint ígéretet tettek, hogy erősebb titkosítással fog a későbbiekben tárolódni a jelszó.

A matarka.hu is korrekten visszajelzett, kiértesítették a felhasználókat az esetről, és kérték, hogy cseréljék le a jelszavakat – na nem a matarka.hu oldalon, hanem mindenhol, ahol esetleg azt a jelszót használták. A matarka.hu elmondta, hogy amikor tudomást szereztek az esetről, a bejelentkezési szolgáltatást és a mögöttes funkciót kikapcsolták, az adatbázis vonatkozó részét pedig törölték (így a mögöttes SQL injection hiba ugyan nem került kijavításra, viszont legalább nincs haszna). Az oldal kiválóan működik login nélkül is, a bejelentkezés csak minimális funkciókhoz volt szükséges, ezt pedig egyszerűbb volt kikapcsolni, mint az alkalmazást kijavítani.

A cfoto.hu oldallal kapcsolatban nincs információm, megköszönték az értesítést, az intézkedésekkel kapcsolatban nem tudom, hogy léptek-e valamerre.

Az mbarat.hu oldal kivétel, itt nem sikerült senkit elérnem, a megadott telszám nem működik, az email is visszapattant (a domain tulajdonos cég felszámolás alatt). Egy ismerősön keresztül próbáltam elérni az oldal gazdáját, de érdemi eredmény nélkül. UPDATE: sikerült elérni az oldal tulajdonosát, nem tudott az esetről, visszahívást igért.

A lucaforum.demoscene.hu az Ayra Recordings kiadóhoz tartozó lap, egy 15 éve működő, de jellemzően már nem használt fórumoldal, amelyet emlékből őriztek meg és tartottak működésben. A felhasználókat próbálják kiértesíteni és megkérni őket a jelszócserére (főleg más oldalakon, ahol esetleg ugyanazt a jelszót használták).

Az aktrecords.hu oldal is megkezdte a felhasználók kiértesítését, egyenlőre nem tudni, hogy mikor történt a breach esemény.

Mi a tanulság?

Ahogy Fülig Jimmy fogalmazta meg: Mindnyájunkat érhet baleset.

Nagyon fontos, hogy egy bekövetkezett adatszivárgás (breach) eseményt nem szabad eltitkolni. Úgy is ki fog derülni, és akkor már sokkal rosszabb pozícióból kell kárt menteni.

Arról nem is beszélve, hogy a május 25. utáni GDPR-érában 72 órán belül le kell jelenteni az eseményt az adatvédelmi hatóság (NAIH) felé, ha azt súlyosnak véli a Szervezet. A lejelentés elmaradása igen komoly (sokmilliós) adatvédelmi bírságot vonhat maga után, főleg a GDPR szerint.

Fontos tanulság, hogy az érintett magyar oldalaknak nem volt tudomása a bekövetkezett eseményről, ami azt jelenti, hogy a 2016-2017-2018 időszakban bekövetkezett eseményt nem észlelték, mert nem figyelték az oldalak naplóeseményeit.

A kszemle.hu utólag ki tudta deríteni (tehát naplóztak, csak nem figyelték és nem volt riasztás), mikor és mi történt – ez alapján pedig be is tudta foltozni a rést. Sajnos azonban a monitorozás, naplók feldolgozása korábban elmaradt – így hiába naplózta a rendszer a támadást, arról az üzemeltetők nem értesültek – így 2016 óta az incidens felderítetlen maradt.

Nyilván fontos tanulság, hogy nem ártana sérülékenységvizsgálatot végezni a rendszereken, az oldalak esetében ez elmaradt (Ludmilla fóruma esetében ez még megérthető is), és egy SQL injection támadáson keresztül el tudták vinni a felhasználói adatbázist.

Szintén jól látható a magyar oldalak esetében, hogy nemigazán fordítottak gondot a jelszavak megfelelő tárolására. A pucér (sótlan) MD5 vagy a MySQL hash korántsem elegendő, ezekből viszonylag hatékonyan lehet visszaállítani a jelszavakat. A cleartext (titkosítatlan) tárolásra pedig szerintem nincsen bocsánat.

Nagyon fontos, ha bekövetkezik a baj, nem csak az adatvédelmi hatóság (NAIH) elől nem szabad eltitkolni az eseményt, de ki is kell értesíteni a felhasználókat.

Sajnos a felhasználók hajlamosak az egyes hozzáférések alatt ugyanazt a jelszót használni, tehát hiába kapcsoljuk le a saját kompromittált szolgáltatásunkat, a nálunk megszerzett jelszóval a felhasználók által használt pl. Gmail, Linkedin, DropBox, stb. online rendszerekbe is be lehet jelentkezni (kivéve, ha persze valaki kétfaktoros hitelesítést használ, ami az ilyen esetek miatt erősen javasolt).

Ha felhasználói oldalról nézzük az eseményt, már unalomig ismételt, hogy ne használjuk ugyanazokat a jelszavakat a különböző rendszerekben, használjuk többfaktoros hitelesítést, változtassunk jelszót, stb.

Egy orosz fórumon előkerült egy brutális mennyiségű felhasználó nevet és jelszót tartalmazó, kategórizált breach lista, amelyben többszázezer (inkább már milliós tételről beszélünk) magyar felhasználó is szerepel. A szuperül összegyűjtött, könyvtárakba rendezett lista egy úgynevezett „kombó”, amelyben sok rendszerből kiszivárgott hozzáférések találhatók.

Az előző posztomban mutattam be ezt a csodálatos leletet, majd gyorsan pár magyar websitetot is összeírtam, akiknek a felhasználói megtalálhatók ezekben az állományokban. 

Második forduló

Sikerült tovább pörgetnem a breach adatfájlokat.

A „Dump” kategória alatti 424 fájlt néztem meg, amely 424 website lenyúlt felhasználó név és jelszó (vagy hash) párosát tartalmazza. Nem ritkák az ilyen gyűjtemények, sok fórumon árulgatnak ilyen „adatbázisokat”.

Vegyék, vigyék! Cak cáz, kici lehet ötven?

Sejtettem, hogy rohadt sok ismétlődés lesz, és persze így is volt, az előző posztban említett magyar oldalak itt is megtalálhatók voltak, úgyhogy szofisztikált deduplikálás következett (kitöröltem őket a francba :), illetve olyan listákat, amelyekben láthatóan random generált címek voltak szintén töröltem), végül a .hu végű email címekre rászűrve néztem végig a listát.

(mivel csak a .hu domain végződésű email címekkel foglalkoztam, ennél sokkal több magyar érintett van ezekben a fájlokban, hiszen a gmail.com vagy más végződések kiestek a rostán)

Ami maradt, az 57 947 .hu domain végű rekord, amelyeket jellemzően régi adatszivárgásokból állnak össze.

De ennél azért többről beszélünk. Most is akadt olyan site, amely eleve magyar, szóval következzen egy kis lista (feltételezve, hogy minden itt regisztrált személy magyar, tehát nem csak a .hu domain végződésű címeket számolom):

Megint nem maradt időm végignézni a csábító Gaming szekciót, amely 105 breach állományt tartalmaz. A gyűjtemény szintén websiteokra van bontva, szóval legalább 105 site (breach source) található benne. 

Alighanem érdekes lesz :)

Egy kis állapotjelentés a kiszivárgott magyar hozzáférésekkel kapcsolatban

A legtöbb szervezett visszajelentkezett ma, megköszönték az értesítést – nyilván ez azt jelenteti, hogy korábban nem tudtak arról, hogy valami történt a felhasználói adatbázisukkal.

Érdekes közjáték, hogy amikor felhívtam ma reggel az egyik szervezetet, a beszélgetés végén a kolléga megkérdezte, hogy miért szóltam nekik, mi a célom azzal, hogy szóltam, valamint, hogy akkor ezt ingyen csinálom? :)

Megpróbáltam elmagyarázni, hogy szakmai kötelesség, meg minden, hááát, nem tudom mennyire sikerült :)

Tegnap már igen álmos voltam amikor posztoltam, és nem nyomoztam sok mindennek utána. Ma már rájöttem, hogy az Euronote kikerült adatbázisával kapcsolatban már bőven voltak nyomok, most meg is találtam, hogy a publikálás dátuma idén februári (azt nem lehet tudni, hogy mikor vitték el).

Tegnap már nem volt erőm átnézni a kicsit összehányt részeket a listákból, de most jobban megnézve, alighanem a java még hátravan. Rengeteg játék oldal (kb 100), randi oldalak (Badoo, Zoosk) és lehetne sorolni, alighanem ezek jó része már régebbi (pl. Badoo breach 2016 – 122 MILLIÓ rekord, Zoosk breach 2016, 54 MILLIÓ rekord) – és pl. a Dump listában benne van az Euronote is, szóval már itt is lesznek ismétlődések.

Úgyhogy megpróbálok azokkal a listákkal foglalkozni, amelyekben van valamilyen magyar érintettség, az is éppen elegendő lesz szerintem :)

És a legfontosabb hír a végére, amit ma mindenki megkérdezett: NEM, nem voltak politikai pártok, vagy kormányzati felhasználók a pornó adatbázisban (legalább is hivatalos címmel nem :))

Egy orosz fórumon előkerült egy brutális mennyiségű felhasználó nevet és jelszót tartalmazó, kategórizált breach lista, amelyben többszázezer magyar felhasználó is szerepel. A szuperül összegyűjtött, könyvtárakba rendezett lista egy úgynevezett „kombó”, amelyben sok rendszerből kiszivárgott hozzáférések találhatók.

A kombó összerendezője gondosan kategóriákba szervezte a hozzáféréseket tartalmazó fájlokat, pornó, shopping, trading, gaming, money, stb. kategóriák alá csoportosította az állományokat, illetőleg található egy Other folder meg egy Dump, amelyben ömlesztve a mangarajongóktól (MangaTraders) a Zoosk randioldalig minden nyalánkság megtalálható.

Külön érdekesség, hogy néhány magyar site is szerepel az étlapon

www.aktrecords.hu - (1180 rekord) esetében a felhasználó név mellé jelszó hashek (pucér MD5) kerültek ki, hashkiller oldalakon triviális...Az oldal működik.

www.cfoto.hu - (1239 rekord) esetében a felhasználó név mellé jelszó hashek (pucér MD5) kerültek ki. Érdekesség, hogy a listában jól látszik az SQL injection eredménye. Az oldal működik.

www.euronote.hu - (817 488 rekord) az oldal már nem működik, jobb is, cleartext jelszavak kerültek ki,

www.kszemle.hu - (19 769 rekord) esetében a felhasználó név mellé jelszó hashek (pucér MD5) kerültek ki. Az oldal működik.

www.matarka.hu - (32 296 rekord) esetében cleartext jelszavak kerültek ki, az oldal működik.

www.mbarat.hu - (24 162 rekord) esetében is jelszó hashek (pucér MD5) kerültek ki. A pucér kifejezés az oldal tartalmához viszonyítva megállja a helyét.

Nyilván nagyon nehéz a kategóriákban (kivéve a magyar siteok esetén) magyar felhasználókat keresni. Az alábbiakban álljon itt még néhány elrettentő szám:

Mi magyarok (ha csak a .hu domainre keresek rá) 5080 rekorddal képviseltetjük magunkat. Nyilván ez közelében sincs a valóságnak.

 A .hu érintettség 22 863 rekord.

A .hu érintettség 20 916 rekord

A .hu érintettség 514 rekord.

A legérdekesebb Gaming kategóriát (105 breach lista) már nem volt erőm végignézni, az sokmillió rekordos játék lehet, szúrópróba szerűen megnéztem három fájlt, azokban 1678 .hu rekord volt, szerintem a teljes Gaming listában simán 50-80e lehet az összes  magyar-érintett rekord.  

Mivel a szaksajtó szereti felkapni ezeket a híreket, és hajlamos kijelenteni, hogy „megtörték a T-Online-t mert nagyon sok t-online.hu cím van a listákban!” leszögezném, hogy leszámítva a felsorolt magyar siteokat, az összes többi (kivéve még a Corporate listát, aminek a forrása ismeretlen) kiszivárgott hozzáférés jól beazonosítható: szerintem direkt a sajtó miatt nevezték el breach forrás szerint az állományokat (www.valami.com).

Az érintett magyar oldalakat (amelyek még működnek, illetve van legalább valami alap kontakt cím) értesítettem, mivel a fene tudja, hogy mikori történet ez (bár gyanús, hogy 2017-es események, plusz a Corporate listában szerepló .hu-s címek jó része is megtalálható más listákban).

Kicsit tartok attól, hogy a magyar siteok nemigen értesítették a felhasználóikat, és a jelszavak jó része még működik. Ahol MD5 hashek voltak, tucatnyit megnéztem online hashkiller oldalakon, nyilván már szerepelnek bennük, szóval azokat már visszatörték valamikor (ebből gondolom, hogy 2017-es és korábbi listákból rakták össze a jelenlegit).

Egyébként 17 nap van hátra a megváltó GDPR-ig :)

Hányjál savat és fakóra erjedt répát,
És hetes köpetet, tokokgörcsöt kapva;
Sárga kalapviaszt, lágyat, folyóst,
Lóvizelettel és tarjékkal elkavarva,
(Hackerek piszkát is hozzá kaparva;)
Vedd Bill bácsi szürke lábmosó levét,
Zuckerberg gatyájának izzadt ülepét
Egy szajha havi vérébe mártva;
Tégy hozzá öklendes, ecetes epét,
- A GDPR szakértőt ebbe főzd puhára!

Engedd Bezos testnedveit
Egy rozsdás bökővel a szabadba;
Csorgasd bele egy szaros vödörbe ,
És okádj utána fulladozva,
(E vágy már sok ember lelkét nyomta)
S kell hozzá még némi jogi-hordalék:
Zugügyvéd vérbő orrhegyén
Lecsorgó mutáns csimpánz nyála,
Nincs más e honban ízes, büszke pép,
- A GDPR szakértőt ebbe főzd puhára!

Virgonc Nadella savanyú köldöklevét
Lafatyold nyelveddel díszes ónkupába,
Fűszerezd Ebay-ről vet Himalája-sóval,
(Nem keverve, de jól összerázva,)
- Színe legyen vörös, felejtős a sárga:
Adj hozzá két egységnyi farpofa-lét,
Hajléktalanról férges koszt, sebet, fekélyt,
Egy fogorvos öblítő-vizébe hányva,
(Nem járt fogorvosnál, ki nem ízlelte még,)
- A GDPR szakértőt ebbe főzd puhára!

Ajánlás:

Péterfalvi Úr, törd át mind e csemegét,
Ha felkészülni nem volt idő elég,
Kipállott talpú zoknidon, vigyázva,
(némi bírsággal is ízesítsd azért) -
- A GDPR szakértőt ebbe főzd puhára