OkosHír: Egy programozó, aki ColdUnwanted néven azonosította magát, biztonsági réseket tárt fel az alberlet.hu ingatlanközvetítő weboldalon. A felfedezett sérülékenységek, egy SQL Injection és egy cross-site scripting (XSS) támadást lehetővé tevő hiba, potenciálisan hozzáférést biztosíthattak felhasználói adatokhoz és a böngésző feletti irányításhoz. A programozó állítása szerint a hibákat jelezte az oldal üzemeltetőinek, akik nem válaszoltak, de a sérülékenységeket javították. Az alberlet.hu a történteket „rosszhiszemű cselekménynek” minősítette, és vizsgálatot indított az ügyben.

Az incidens részletei

A ColdUnwanted nevű programozó a Telex megkeresésekor arról számolt be, hogy két jelentős sérülékenységet azonosított az alberlet.hu rendszerében. Az egyik egy SQL Injection típusú hiba volt, amely lehetővé tette, hogy az adatbázis lekérdezéseit eltérítve illetéktelenül hozzáférjenek a tárolt adatokhoz. Ezen keresztül a programozó állítása szerint több mint 300 ezer felhasználó személyes adataihoz jutott hozzá, beleértve IP-címeket, felhasználóneveket, e-mail címeket, telefonszámokat, MD5 algoritmussal titkosított jelszavakat, címeket és hitelesítő tokeneket. Emellett egy tranzakciós adatbázis is elérhetővé vált, amely SimplePay és szamlazz.hu API privát kulcsokat, valamint titkosítatlan fiókjelszavakat tartalmazott.

A másik felfedezett sérülékenység XSS támadásokat tett lehetővé. Ez a típusú hiba a weboldal kliensoldali működésének befolyásolását teszi lehetővé kódrészletek bejuttatásával, ami például felugró üzenetek megjelenítését, az oldal kinézetének megváltoztatását, vagy akár kártevők telepítését is eredményezheti. A programozó szerint ezt a hibát egy kiadó lakás hirdetésére kattintva lehetett kihasználni, ahol a cím és a felhasználónév mezőinek módosításával megváltoztatta az oldal kinézetét. A programozó azt is jelezte, hogy a főoldalon is el lehetett helyezni felugró üzeneteket, és elméletileg kártevőket telepítő szkriptek is futtathatók lettek volna.

Kommunikáció és a cég reakciója

A programozó állítása szerint szeptember elején hajtotta végre az SQL Injectiont, és szeptember 12-én fedezte fel az XSS sérülékenységet. Többször is megkereste az alberlet.hu-t az oldalon megadott e-mail címen és a tulajdonos saját címén keresztül is, de válasz nem érkezett. A szamlazz.hu-nak és a SimplePay-nek is írt, de csak az utóbbi küldött automatikus üzenetet. A programozó szerint az alberlet.hu nem értesítette a felhasználókat az adatszivárgásról, mivel saját fiókjára sem érkezett ilyen értesítés, és hetekkel később is működtek a visszafejtett jelszavak.

Az alberlet.hu a Telex megkeresésére elismerte az incidenst, és közölte, hogy szakértői csapat bevonásával vizsgálják az ügyet. Később egy tájékoztatót is közzétettek honlapjukon, amelyben „külső, rosszhiszemű cselekménynek” nevezték a történteket. A cég bejelentette az incidenst a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH) is, de a bejelentés pontos időpontja nem derült ki. Az alberlet.hu tájékoztatása szerint a vizsgálat lezárulta után bővebb felvilágosítást adnak majd az esetről, és jelenleg az érintett felhasználók és adatok kategóriáit, valamint számát igyekeznek megállapítani. Az oldal adatvédelmi szabályzata a cikk írásának idején nem volt elérhető, és a honlap aljáról is eltűnt a menüpont.

Javítások és további kockázatok

A programozó szerint az általa jelzett sérülékenységeket azóta javították: az SQL Injection esetében a sebezhető végpontokon történő lekérdezéseket módosították, az XSS esetében pedig letiltottak bizonyos kifejezéseket és szigorították a bevitt adatok hitelesítését. Ugyanakkor hozzátette, hogy az XSS javítása bizonyos módszerekkel még megkerülhető lehet, ezért a fejlesztőknek javasolta az SQL-lekérdezések és a beviteli mezők hitelesítésének teljes újraírását.

A cikk kiemeli, hogy bár a programozó által használt módszerek már nem működnek, nem zárható ki, hogy mások is felfedezték és kihasználták a sérülékenységeket anélkül, hogy erről az alberlet.hu-t értesítették volna. Ezért fennáll a kockázat, hogy más felek is birtokában lehetnek felhasználói adatoknak. Amíg az alberlet.hu nem tájékoztatja erről közvetlenül a felhasználókat, addig nemcsak az alberlet.hu fiókjaik, hanem jelszóegyezés esetén más online fiókjaik is veszélyben lehetnek. Az eset hasonlóságokat mutat a 2017-es BKK online jegyértékesítési rendszerében felfedezett hibával kapcsolatos üggyel.

Tiszta.AI elemzés: Az eredeti cikk értékelése

• Az eredeti cikk narratívája és célja: Az eredeti cikk célja az alberlet.hu weboldalon történt adatszivárgás és biztonsági rések feltárása, valamint a cég erre adott, illetve elmaradt reakciójának bemutatása. A narratíva egy „jóhiszemű” programozó történetét meséli el, aki felfedezi a hibákat, jelzi azokat, de nem kap választ, miközben a cég utólag, külső nyomásra kommunikál. A cikk célja az olvasók tájékoztatása a potenciális adatvédelmi kockázatokról és a vállalatok felelősségéről ilyen esetekben. A cikk kritikusan viszonyul az alberlet.hu kommunikációjához és az incidens kezeléséhez.
• Főbb elemzési pontok:
  • Nyelvi és Retorikai Eszközök: A cikk a tényszerű riportálás mellett bizonyos pontokon enyhe érzelmi töltetű vagy sugalmazó nyelvezetet használ, ami az alberlet.hu helyzetét negatív fényben tünteti fel. Például a bevezetőben a „valószínűleg nem tűnik fel neki semmi extra” és a „hétköznapibbnak nem is tűnhetne az egész” kifejezések kontrasztot teremtenek a rejtett problémával szemben. Az „aggodalomra adhatna okot” szintén az olvasó érzelmeire hat. Az „kibányászni” szó a programozó adatgyűjtésére utalva kissé negatív konnotációt hordoz, bár a technikai kontextusban értelmezhető. A cikk a „rosszhiszemű cselekménynek” minősítést idézi az alberlet.hu-tól, de az elemzés során ez a megnevezés kontextusba kerül a programozó állítólagos jóhiszeműségével. Az olyan kifejezések, mint a „meglepő lenne, ha nem látták volna az üzeneteket” vagy az „ennek fényében az is furcsa”, illetve „figyelemre méltó”, a cikk narrátorának szubjektív véleményét tükrözik, és az olvasóban a cég magatartásával kapcsolatos kritikát erősítik.
  • Forráskezelés és Egyensúly: A cikk forráskezelése a programozó, ColdUnwanted, állításaira támaszkodik nagy mértékben, részletes leírást adva az ő nézőpontjából az eseményekről és a sérülékenységek technikai részleteiről. Az alberlet.hu álláspontját is bemutatja, de hangsúlyozza az információhiányt és a cég kezdeti hallgatását („nem árultak el többet”, „nem derült ki, hogy a felhasználók kaptak-e külön értesítést”). Az egyensúly hiánya a programozó javára billen, ami azonban a cég kommunikációs hiányosságai miatt szerkesztőileg indokolt lehet. A cikk expliciten jelzi, hogy bizonyos állításokat (pl. a programozó megkereséseinek ténye) az alberlet.hu nem erősített meg. A BKK-üggyel való összehasonlítás egy ismert, vitatott esetre hivatkozik, ami az olvasóban a cégek adatkezelési gyakorlatával szembeni bizalmatlanságot erősítheti.
  • Hiányzó Kontextus és Tények: A cikk rámutat több hiányzó tényre és kontextusra. Kiemeli, hogy az alberlet.hu nem közölt információt arról, értesítették-e a felhasználókat közvetlenül az adatszivárgásról. A NAIH bejelentés időpontja sem derült ki a cég közleményéből. A cikk felhívja a figyelmet arra, hogy az adatvédelmi szabályzat elérhetetlenné vált a weboldalon, ami fontos információhiányt jelent a felhasználók számára. Az alberlet.hu által indított vizsgálat részletei is hiányosak, ami gátolja a teljes kép megértését az incidens súlyosságáról és a cég belső folyamatairól.
• A téma társadalmi relevanciája: Az alberlet.hu-val kapcsolatos eset rávilágít a digitális korban az adatvédelem és a kiberbiztonság kiemelkedő fontosságára. A felhasználók személyes adatainak védelme alapvető jog, és az ilyen típusú sérülékenységek súlyos következményekkel járhatnak az egyénekre nézve (pl. identitáslopás, pénzügyi károk). A cikk által felvetett kérdések, mint a felelős közzététel (responsible disclosure), a vállalatok kommunikációja adatvédelmi incidensek esetén, és az adatvédelmi hatóságok szerepe, mind központi témák a mai társadalomban. Az eset felhívja a figyelmet arra is, hogy a szolgáltatóknak proaktívan kell kezelniük a biztonsági kockázatokat, és átláthatóan kell kommunikálniuk a felhasználókkal, különösen, ha adataik veszélybe kerülnek.

(Forrás: telex.hu)