Kitört a Bubileaks - Tovább gyűrűző botrány a BKK-nál

Csak részben vizsgálja a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a Budapesti Kereskedelmi Központ (BKK) körüli adatszivárgási botrányokat – derült ki Péterfalvi Attila lapunknak adott válaszából. Az Adatvédelmi hatóság ugyanis szerdán a sorozatos botrányok után ugyan eljárást indított a BKK és a T-Systems Magyarország Zrt. által üzemeltetett online jegyértékesítési rendszerrel, valamint a MOL Bubi közbringarendszerrel összefüggő adatkezelésekkel kapcsolatban, ám nem vizsgálja a többi, T-System által fejlesztett BKK-rendszert.

A BKK vesszőfutása nem sokkal az e-jegyrendszer júliusi elindítása után kezdődött. Akkor derült ki, hogy a néhány hónap alatt összecsapott oldalon amatőr szakmai hibák sorát lehetett felfedezni. Később a 24.hu előbb az e-jegyrendszerről, majd tegnap a Mol Bubi közbringarendszer számítógépes rendszeréről is megírta, hogy kiszivárogott onnan több ezer felhasználó neve, e-mail címe, telefonszáma. Az eddigi információk szerint összesen körülbelül 8 ezer BKK-ügyfél adata kerülhetett ki a rendszerből.

Ugyanakkor nemcsak ezt a két hálózatot fejlesztette és üzemelteti a BKK-nak T-Systems, s a történtek után kérdéses: biztonságban vannak-e az ott lévő adatok? A cég alakította ki a jegyautomaták rendszerét is, ami a több százezer budapesti bérletes utas adatait is tárolja. A T-Systems munkája volt a Futár-szolgáltatás kialakítása is, ami nemcsak műholdas helymeghatározással tárolja a fővárosi tömegközlekedési járművek pillanatnyi helymeghatározási adatait, de a rendszerbe okostelefonjával, számítógépével belépő felhasználók kereséseiből – ha azt nem törli időben a rendszer – a felhasználó utazási szokásaira is lehet következtetni.

Ha a NAIH vizsgálata, vagy a nyomozó hatóság megállapítja, hogy BKK és a T-Systems az adatbiztonsági követelmények megszegésével tárolta a személyes adatokat, úgy később sérelemdíjat követelhetnek az adatkezelőtől azok az utasok, akiknek illetéktelen kezekbe kerültek az adataik – tudtuk meg Magyar Gábor ügyvédtől. A sérelemdíj független attól is, hogy az utast érte-e bármilyen kár a személyes adatok kiszivárgása miatt. A sérelemdíj megállapítása ilyenkor a bíró mérlegelésétől függ, ám alapul véve azt, hogy egy ilyen bírságnak „nevelő célzata” is van, károsultként hat számjegyű összegnek kellene lennie – véleményezte az ügyvéd. Szerinte a sérelemdíj akkor is jár, ha kiderül, hogy nem a rendszer hibájából, azaz hekkeléssel kerültek ki az adatok, hanem "belsős" csempészte ki azokat.

Úgy tudni, hogy a városházán már biztosra veszik, hogy ez utóbbi történt, legalábbis Tarlós István főpolgármester ezzel is indokolta, hogy nem hajlandó elengedni a problémásnak tűnő fejlesztéseket levezénylő Dabóczi Kálmán BKK-vezér kezét, inkább a T-Systemsre tolják botrányt. Így a városházi sejtetések szerint az adatcsempészt is a T-Systems gárdájában kell keresni.

Ugyanakkor a lapunk által megszólaltatott szakértők inkább arra hívták fel a figyelmet, hogy a T-Systems által fejlesztett hálózatoknak egészen komoly biztonsági hiányosságai vannak. Így jellemző volt, hogy egy fiatal diák könnyűszerrel tudott 50 forintért havibérletet vásárolni, úgy, hogy átírta az oldalon a jegyárakat. Bár az etikus hekker jelezte a problémát a T-Systemsnek, a cég feljelentette a fiatalembert, aki ellen most rendőrségi nyomozás folyik.

Mint arról írtunk, a sorozatos botrányok után már a titkosszolgálatok is vizsgálják, mi zajlik a nemzetbiztonsági védelem alá eső BKK hálózatai körül. A T-Systems a főváros is rendkívüli vizsgálatot indított. A cégek erre hivatkozva nem nyilatkoznak az ügyben.