Több internetes platformon is terjed, illetve olvasóinktól közvetlenül hozzánk is eljutott az a kép, amely szerint a készítője egy súlyos sérülékenységet fedezett fel a nemzeti konzultáció weboldalán, ahol most épp a koronavírussal kapcsolatos konzultáció online verziója zajlik. A kép hitelessége egyelőre kérdéses, de több jel is arra utal, hogy valódi lehet. Megkérdeztük az illetékes állami szerveket, egyelőre nem reagáltak.
A kép eredeti közzétevője azt állítja, pusztán a böngésző címsorában lévő url módosításával egy olyan oldalra jutott, amelynek a kódjában bármiféle védelem nélkül megtalálható és kiolvasható volt az oldal által használt adatbázis neve, illetve hogy milyen felhasználónévvel és jelszóval nyitható meg és írható-olvasható az adatbázis. (A képen már a közzétevője is kitakarta a jelszó egy részét.)
Ha ez igaz, akkor ez olyan orbitális biztonsági rés a konzultációs oldalon, hogy az valami egészen lenyűgöző
– mondta az Indexnek egy általunk megkérdezett, névtelenséget kérő biztonsági szakértő.
Ha a hiba valóban fennállt, az még nem jelenti azt, hogy ennyivel már rögtön hozzá is lehetett férni kívülről az adatbázishoz, de ha van az oldalnak más sérülékenysége, például olyan, amellyel távoli kódfuttatást lehet kezdeményezni, egy távoli paranccsal már lehet csatlakozni az adatbázishoz, hiszen megvan az IP-cím, ahol elérhető, illetve a szükséges felhasználónév és jelszó is.
Ha van más sérülékenység is az oldalon, márpedig ha a kép és ez a hiba valódi, akkor ez alapján nem kizárt, hogy van, akkor elképzelhető, hogy ki lehet nyerni a nemzeti konzultáció során begyűjtött adatokat ebből az adatbázisból
– mondta a szakértő.
A képről leolvasható címen már kedden is csak egy hibaoldal töltött be, szerdán pedig már teljesen elérhetetlenné vált, azaz ha volt ilyen sérülékenység, azzal most már biztosan nem lehet visszaélni. Viszont valami változott az oldalon azt követően, hogy elkezdett terjedni az állítólagos biztonsági rés híre.
Azt, hogy a sérülékenység valóban létezett-e, kívülről csak olyan vizsgálattal lehetne reprodukálni, amely jogilag támadásnak minősülhet, ezért szakértői ellenőrzés céljából sem érdemes próbálkozni vele, ha az ember nem akar úgy járni, mint a BKK online jegyrendszerében hibát felfedező fiatal, vagy pláne úgy, mint a Telekom-ügyben elítélt főiskolás hekker.
Pusztán a kép alapján nem dönthető el egyértelműen, hogy az valódi-e, de a szakértő elképzelhetőnek tartja, hogy valóban létezett hibáról van szó, mert a képen látható technikai adatok alapján szerinte irreálisan sok munka lenne előállítani egy ilyen hamis képet. A később a szóban forgó címen bejövő hibaüzenet is arra utal, hogy lehetett ott valami korábban.
Ha fennáll a lehetőség, hogy egy ilyen hibával akár csak meg lehetett próbálni visszaélni, azt a kormányzati rendszerek védelméért felelős Nemzeti Kibervédelmi Intézetnek (NKI) kell vizsgálnia. "Az NKI könnyen ellenőrizheti, hogy a képen részben látható jelszó valódi-e. Ha igen, akkor ezt incidenskezelés alá kell vonniuk, és lejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság felé, mert személyes adatokat érinthet, és így tovább" – mondta a szakértő.
Kérdéseinkkel még kedden megkerestük az NKI-t, majd szerdán az oldalon üzemeltetőként feltüntetett Miniszterelnöki Kabinetirodát is. Azt kérdeztük tőlük, hogy vizsgálták-e, hogy valóban fennáll vagy fennállt-e ez a hiba, és ha igen, milyen eredményre jutott a vizsgálat. Megkérdeztük azt is, hogy ha volt ilyen sérülékenység, történt-e vele visszaélés vagy erre irányuló kísérlet. Arra is kíváncsiak voltunk, hogy ha tudnak ilyenről, tettek-e feljelentést. Cikkünk megjelenéséig nem válaszoltak, ha érkezik reakció, frissítjük a cikket.
Cikkünk megjelenése után néhány órával válasz érkezett a Kormányzati Tájékoztatási Központtól. A válasz érdekessége, hogy egyetlen konkrét kérdésünkre sem reagál, így arra sem, hogy fennállt-e az állítólagos hiba. Azt, hogy erre a válasz igen, azaz valóban volt ilyen sérülékenység, abból lehet kikövetkeztetni, hogy az a levél szerint "a médiában megjelent egyes állításokkal szemben" nem alkalmas arra, hogy hozzáférést adjon a nemzeti konzultációs adatokhoz. (Cikkünk ilyet nem is állított.)
A levél lényegi részét változtatás nélkül közöljük:
A konzultációs honlapot a Nemzeti Infokommunikációs Szolgáltató Zrt. (NISZ) fejlesztette, amely folyamatosan felügyeli a honlap biztonságát. A médiában megjelent egyes állításokkal szemben az interneten megjelent információk ismerete nem alkalmas arra, hogy a nemzeti konzultáció informatikai rendszeréhez illetéktelenek hozzáférjenek. A konzultációs portál egy tesztelt és megfelelő védelemmel ellátott honlap, amelynek felügyeletén a NISZ szakemberei folyamatosan dolgoznak, és minden felmerülő probléma esetén megteszik a szükséges intézkedéseket. Általánosságban elmondható, hogy az utóbbi időszakban folyamatosan emelkedik a kormányzati oldalak elleni támadási kísérletek száma. A NISZ szakemberei minden esetben gondoskodnak a szolgáltatások védelméről.