Egy júliusban történt hackertámadás következtében több százezer magyar felhasználó adatait – e-mail-címek, lakcímek, nevek – lopták el a Kütyübazár nevű webshoptól. Az adatokat jelenleg is a dark weben árusítják, egy IT biztonsági szakember szerint egymillió rendelés, vagyis olyan 800–850 ezer felhasználó személyes adatait tartalmazza a felkínált csomag, ráadásul ellenőrizték az adatok valódiságát és hitelesnek bizonyultak.
Még 2024 júliusában tűnt fel a dark weben egy adatbázis, amelyben magyar felhasználók százezreinek, sőt, akár millió feletti felhasználónak a személyes adatait árulták. Az emailsec jelentése szerint a Kütyübazár nevű, 2010 óta működő népszerű webshop adatbázisából sikerült a hackereknek ellopni az adatokat, amiket egy SirDump nevű felhasználó kezdett árusítani.
Bár a fórum üzemeltetőjét, amelyen lopott adatbázisokkal üzleteltek, már kétszer is lekapcsolta az FBI, de először óvadékkal szabadult, másodszor pedig nélküle indították újra mások a fórumot, és ugyanúgy meg lehet vásárolni az adatokat – sőt, hiába tudnak róla,
még mindig elérhető a magyarok százezreinek neveit, e-mail-címeit és lakcímeit kínáló csomag.
A White Hat IT Security cég kutatója, Fodor Dénes a Telexnek számolt be arról – miután belefutott a listába a dark weben –, hogy nem egymillió magyar adatai, hanem egymillió rendelés adatai találhatóak a listában, így ha valaki az adott időpontban többször is rendelt, akkor duplikálódtak az adatai. Fodor számítása szerint olyan 800–850 ezer felhasználó lakcíméról, e-mail-címéről és nevéről van szó.
A csomag tartalma természetesen nem elérhető, csak a megvásárlás után, viszont az adatbázist áruló felhasználó néhány adatot azért kirakott mutatóba a csomagból. Az emailsec ezeket még a nyáron le is ellenőrizte, és kiderült, hogy
az adatok valósak, tehát tényleg létező emberek adataival üzérkednek.
Annyit viszont kiderítettek, hogy jelszavak nem tartoznak a személyes adatokhoz, tehát feltörni nem tudják az adathalászok az egyes felhasználók oldalait, viszont különböző csalásokhoz és úgynevezett „horgásztámadásokhoz” könnyedén felhasználhatják a több százezer nevet és címet. A szakemberek szerint az adatbázis méretéből arra lehet következtetni, hogy a Kütyübazár nem titkosította megfelelően az adatokat.
Cikkünk megjelenését követően a Kütyübazár ügyvezetője, Jakab László az alábbi közleményt juttatta el az Indexnek:
A különleges ajándékötleteiről ismert KütyüBazár is felkerült a kiberbűnözők térképére, de már új rendszert üzemeltet a webáruház. A gyanú szerint egyik munkatársunk jelszavát illetéktelen személy bűncselekmény útján kifürkészte, a megszerzett adatokkal belépve pedig néhány vásárlónk nevét, e-mail-címét és szállítási címét jogosulatlanul megszerezhette. A betörés során bankkártyaadatokhoz és jelszavakhoz nem férhettek hozzá.
Az ügyről tudomást szerezve haladéktalanul rendőrségi feljelentést tettünk és bejelentéssel éltünk a Nemzeti Adatvédelmi Hatóság felé is. Az adatszivárgásban érintett felhasználókat augusztusban elektronikus levélben értesítést küldtünk.
A sajtóhírekkel ellentétben a támadás során nem több mint 800 ezer rekord került ki, mivel a megszerzett adatok túlnyomó többsége tesztelési célú vagy robot feliratkozó által generált, hamis adat volt. A valós felhasználók száma a visszaéléssel érintett adatbázis-töredékben a rendőrségi nyomozás jelen szakasza szerint 221 fő lehet.
Korábban webáruházunkat kiberbiztonsági szakértő felülvizsgálta és kritikus hibát nem fedezett fel, de az ilyen jellegű bűncselekmények ellen a védekezés rendkívül nehéz. Idén az évi mintegy 300 ezer rendelést feldolgozó KütyüBazár továbbfejlesztette webboltja biztonságtechnológiai eszközeit, ennek keretében a teljes nyílt forráskódú üzemeltető rendszert lecseréltük.
Nagyon köszönjük a hatóságok munkáját, akikkel mindenben együttműködünk, hogy a felhasználóinkat és minket ért támadás felelősét minél előbb kézre tudják keríteni.