Nemzeti konzultáció, orosz szerver, személyes adatok – ezek a témák külön-külön is alkalmasak mostanában az érzelmek felkorbácsolására, és a hétvégén pont egy hírben találkozott a három. A 444.hu írta meg, hogy a kormány legújabb nemzeti konzultációjának online kiadása egy orosz szerverre küldi el a felhasználók személyes adatait. Az illetékesek siettek közölni, hogy nem történt semmilyen szabálytalanság, és az ominózus kódot gyorsan törölték is az oldalról. Persze az, hogy az adatvédelmi szabályokat valaki nagyon súlyosan áthágta, éppen egy ennyire érzékeny témájú oldalon, egészen nyilvánvalónak látszik. A kérdés az, hogy az évtized magyar kiberkémkedési ügyébe sikerült beletenyerelni, vagy egyszerűen balfék volt valahol egy programozó.
Oké, mi a fene történt, amíg mindenki a CEU-val volt elfoglalva?
Az éppen futó nemzeti konzultációnak van egy online kiadása, a nemzetikonzultacio.kormany.hu címen, ahol válaszolhatunk ugyanazokra a kérdésekre, amiket papíron, postán is megkaptunk. A hétvégén kiderült, hogy ennek a weboldalnak a kódjában szerepel a Yandex nevű cég mérőkódja, ami egy orosz szerverre továbbít adatokat.
Na, álljunk meg egy pillanatra, hogyan derül ki az ilyesmi?
Alapjáraton nem kell olyan nagy hekkernek lenni hozzá, minden böngésző meg tudja mutatni az aktuálisan megjelenített oldal forráskódját, a Chrome-ban például a Ctrl+U billentyűkombinációval. A nemzeti konzultációs weboldal kódjában pedig ott figyelt a Yandex Metrika mérőkódja.
Mérőkód, ez nem hangzik túl veszélyesen.
Nem is az, ez alapvetően egy nagyon hasznos eszköz, minden nagyobb forgalmú oldal használ ilyesmit a forgalmának elemzésére, a legelterjedtebb megoldás a Google Analytics. Nagyon sok okos dolgot elmondhat egy ilyen a látogatókról, például hogy mennyi időt töltenek az oldalon, milyen linkekre kattintanak, milyen böngészőt és operációs rendszert használnak, milyen felbontásban nézik az oldalt – az ilyesmik segítségével lehet az oldal tartalmát és technikai megvalósítását a látogatói igényekhez igazítani, hirdetéseket hatékonyabban célozni, és hasonlók.
Jó, hát ez eddig nem egy kimondott hollywoodi kémsztori.
Majd mindjárt az lesz. A 444 programozói ugyanis kiderítették, hogy a mérőkód egy orosz doménen levő szerverre továbbít személyes adatokat, amiket a kérdőívet kitöltők adtak meg magukról.
Hát, ez elég gáz.
Főleg, hogy az oldal adatvédelmi tájékoztatójában feketén-fehéren szerepel: „A közölt személyes adatokat az adatkezelő nyilvánosságra nem hozza, külföldre és harmadik félnek nem továbbítja.” A valóságban meg az derült ki, hogy dehogynem.
És pontosan milyen adatok mentek ki?
A kérdőív kitöltéséhez a nevünket, emailcímünket és az életkorunkat kell megadni. Elvileg ezt mind elküldte a Yandex orosz szerverére az oldal, és azt is, hogy a kérdéseknél melyik válaszopcióra kattintottunk. Igaz, az egész online konzultáció komolyan vehetőségét megkérdőjelezi, hogy bármit beírhatunk, nincs semmiféle visszaellenőrzés, hogy élő címet adtunk-e meg, és valódi nevet, vagy csak a macska végigszaladt a billentyűzeten. Ráadásul egy ember akárhányszor kitöltheti.
És ki ez a Yandex, aki ravasz módon megtudta rólam, hogy a magyar kormány által elvárt mértékben gyűlölöm-e Soros Györgyöt?
Ez egy óriási orosz online cég, a Vkontaktye és a Mail.ru mellett a legnagyobb játékosok egyike a helyi piacon. Nagyjából úgy lehet elképzelni, mint az orosz Google-t: a kereső a fő bizniszük, de van levelezőjük, online térképük, fotómegosztójuk, fordítóprogramjuk meg egy csomó más szolgáltatásuk. Például ilyen analitikai szoftverük.
Tehát ez egy magáncég, ami független az orosz államtól?
Papíron igen, de azok után, ahogy a Putyin-közeli oligarchák megjelentek az orosz internetes biznisz összes fontosabb cégében, és főleg mióta az orosz Facebooknak számító Vkontaktyét is bedarálták, nehéz elképzelni, hogy pont a legnagyobbnak számító Yandex-birodalomig ne érne el a Kreml keze. Erre utal az is, hogy pár éve simán átadták az orosz titkosszolgálatnak azoknak a felhasználóknak a névsorát, akik a Yandex Paypal-szerű pénzküldő szolgáltatásán át támogatták egy ellenzéki aktivista korrupcióellenes online portálját.
Persze az orosz kormány addig üti a tulajt, míg mindent el nem mond...
Ez nem kell hozzá, a kormány és Yandex közötti szoros kapcsolat nem csak informális: 2012-ben Dmitrij Medvegyev – még épp elnökként, mielőtt kormányfő lett volna, hogy visszaadja az államfői stafétát Putyinnak – kezdeményezte, hogy szerezzék meg a Yandex aranyrészvényét, nehogy az amerikai tőzsdén is futó cég feletti kontroll külföldi kezekbe kerüljön. Az akkor 12 százalékot birtokló alapító tulajdonos, a jelenleg 1,2 milliárd dolláros vagyonnal rendelkező Arkagyij Volozs át is adta az aranyrészvényt, miután Medvegyev stratégiai jelentőségűnek nevezte a céget. Az állam így blokkolhatja a tulajdonszerzést a cégben, ha neki nem tetsző befektető érkezne a világ 27., az orosz nyelvű internet leglátogatottabb oldalát üzemeltető cégbe.
Talán az együttműködéssel magyarázható, hogy cég nem járt úgy, mint az öntörvényűnek tartott Pavel Durov vezette Vkontaktye, ő ugyanis ma már nem vezetheti az „orosz Facebookot”, míg Volozs jelenleg is a holding vezetője, igaz, a vezérigazgatói posztot 2014-ben átadta másnak. Ám akkor sem a Kreml nyomta be saját emberét: Alekszandr Sulgin az orosz Coca-Colától nyergelt át még 2007-ben a Yandexhez – a rövidítés egyébként a „még egy kereső” angol rövidítéséből származik –, és ő készítette elő a cég amerikai tőzsdei megjelenését is, amellyel 1,3 milliárd dollárt vont be a ma már 8 milliárd dollárra taksált cégbe.
Jó, jó, de minek kell az orosz kémeknek egy lista olyan magyar emberekről, akik hajlandóak a kormány rettentő manipulatív kérdéseire válaszolni?
Hát ez az. Nem tűnik túl észszerűnek, hogy ilyen nyakatekert és könnyen lebuktatható módon szerezzen be bárki olyan információkat, amiket egyébként a Facebook nyilvános megosztásaival, csoporttagságaival önként adunk ki magunkról. Ha valakinek pont azokra az adatokra van szüksége, amik most kimentek a Yandexhez, már réges-rég begyűjtötte azokat, sokkal részletesebb verzióban, teljesen legális módszerekkel máshonnan.
Na de ha nem kiberkémkedés volt, akkor mit keresett az az adatszivárogtatós mérőkód az oldalon?
Leginkább életszerűnek az a forgatókönyv látszik, hogy az oldalt fejlesztő programozók egyike túlbuzgóságból, megszokásból, vagy mert a személyes ízlésének az feküdt jobban, a Yandex mérőkódját építette bele a kódba a megszokott és biztonságosnak elkönyvelt Google-féle megoldás helyett vagy mellett. Lehet, hogy nem is tudott róla, hogy az milyen adatokat küld haza, lehet, hogy csak nem érdekelte, vagy nem tartotta fontosnak. Az mondjuk valószínű, hogy bárki is volt, ma már munkanélküli.
Akkor lehet oszolni, nincs itt semmi látnivaló?
Dehogy nincs. Bár nem valószínű, hogy szándékosan kémeknek segített vele valaki, ettől még a személyes adatok kiszivárogtak a konzultációs weboldalról. Hogy hogyan lehetett ilyen durván áthágni az adatvédelmi szabályokat egy elvileg kiemelt biztonságú kormányzati rendszernél, hogy nem tűnt fel ez egyetlen fejlesztőnek, tesztelőnek, rendszergazdának sem, hogy nem bukott ki egyetlen ellenőrzésnél sem, az elég ijesztő. És persze felveti azt a kérdést is, hogy
(Címlap és borítókép illusztráció: szarvas / Index. Eredeti fotó: Konstantin Zavrazhin / Getty Images Hungary)