Több százezer magyar felhasználó személyes adatai szivároghattak ki a Kütyübazár oldaláról (a Kütyübazár szerint viszont sokkal kisebb ez a szám)

Jelenleg is megvásárolhatóak a darkneten azok a magyar felhasználói adatok (név/e-mailcím/lakcím), amikről a feltöltőjük azt állítja, hogy a Kütyübazár webáruháztól kerültek ki júliusban – írja a Telex az adatokba belefutó Fodor Dénesre, a White Hat IT Security nevű kiberbiztonsági cég kutatójára hivatkozva.

A szivárgásról júliusban beszámolt az Emailsec szakmai blogja, de ott 1 millió érintett felhasználóról írtak. Fodor szerint valójában 1 millió rendelés adatai kerültek ki, így ha valaki az érintett időszakban többször is rendelt a bolttól, akkor többször is szerepelnek az adatai a listán. A teljes kiszivárgott adatbázis nem publikus, mert a feltöltője pénzért árulja, csak az ízelítőként publikált mintából lehet következtetni: a szakértő arra tippel, hogy a teljes adathalmazban kb. 800–850 ezer egyedi rekord lehet, azaz nagyjából ennyi felhasználó lehet érintett.

A kiszivárgott adatok között jelszavak nem szerepelnek, így az érintett fiókokhoz közvetlenül nem férhettek hozzá a hackerek.

Frissítés: A Kütyübazár december 31-én a kora délutáni órákban közleményt adott ki az esetről. Ebben egyebek mellett azt írják:

„A KütyüBazár is felkerült a kiberbűnözők térképére, de már új rendszert üzemeltet a webáruház. A gyanú szerint egyik munkatársunk jelszavát illetéktelen személy bűncselekmény útján kifürkészte, a megszerzett adatokkal belépve pedig néhány vásárlónk nevét, e-mail-címét és szállítási címét jogosulatlanul megszerezhette. A betörés során bankkártyaadatokhoz és jelszavakhoz nem férhettek hozzá.” Amint tudomást szereztek az adatszivárgásról, feljelentést tettek a rendőrségen, jelentették az esetet Nemzeti Adatvédelmi Hatóságnak is, valamint az érintett felhasználókat augusztusban elektronikus levélben értesítették.

A cég cáfolta, hogy a támadás során több mint 800 ezer rekord került volna ki, mondván: „a megszerzett adatok túlnyomó többsége tesztelési célú vagy robot feliratkozó által generált, hamis adat volt. A valós felhasználók száma a visszaéléssel érintett adatbázis-töredékben a rendőrségi nyomozás jelen szakasza szerint 221 fő lehet”.