Sasszemklinika és Wizzair a kiberbűnözők célkeresztjében, miközben már a lengyel kiber- és adatvédelem is fényévnyi távolságba került

Az utóbbi hetekben két, vélhetően sikeres támadás történt komolyabb magyar vonatkozású cégekkel szemben. Az egyik a Sasszemklinikát érintette, a másik a WizzAir Abu Dhabi leányvállalatát.

A Sasszemklinikát a Quilin ransomware csoport támadta, állításuk szerint 178.028 fájlt hoztak el 101.00 GB méretben. A közzétett bizonyítékok alapján a támadás az egészségügyi adatok spektrumát is érintik.

Köztük a feltételezem akár biometrikus azonosításra is használható képeket is a vizsgált szemről. A kiberbűnözői csoport szerint a megtámadott fél fel sem vette velük a kapcsolatot. Az esetet egyébként a telex.hu is megírta.

A Sasszemklinika azóta egy közleményt is közzétett:

„A Sasszemklinikát egy külső kibertámadás érte, amelynek során – a jelenlegi információk szerint – illetéktelenek hozzáférhettek bizonyos digitális adatállományainkhoz. Az eset kivizsgálása azonnal megkezdődött és jelenleg is folyamatban van. A hatóságokkal együttműködve megtettük a szükséges jogi és adatvédelmi lépéseket.

Fontos kiemelnünk:

Klinikai rendszereinket azonnal elszigeteltük és megerősítettük a további védelem érdekében.
Független kiberbiztonsági szakértőkkel közösen dolgozunk az eset kivizsgálásán és az esetleges következmények feltérképezésén.
Az esetet jeleztük az adatvédelmi hatóságnak (NAIH), és a GDPR előírásainak megfelelően járunk el.
Pácienseink egészségügyi ellátása, kezelése és az időpontfoglalás zavartalanul működik.

A vizsgálat lezárást követően az esetleges érintetteket haladéktalanul tájékoztatni fogjuk.”

Nos, meglehetősen optimista megközelítés „esetleges érintettekről” beszélni, hiszen a támadás bizonyítékaként közzétett adatok feltételezem nem „esetleges érnitettek” személyes adatait tartalmazza, hanem non-fiction érintettek személyes adatait. Vajon a vizsgálat lezárásáig (egyáltalán milyen vizsgálat? belső? NAIH? rendőrségi?) miért nem lehet az „esetleges érintetteket” konkrétumokkal tájékoztatni?

A WizzAir Abu Dhabi feltöréséről ennél is kevesebbet lehet tudni. A támadást végrehajtó Stormous kiberbűnözői csoport állítása szerint 22GB adatot vitt el, beleértve a vállalati jelentéseket, az alkalmazotti és ügyfélnyilvántartásokat, belső dokumentumokat és az összes alkalmazott légijármű-üzemeltetői engedélyeit.

A Stormous azóta néha elérhetetlenné vált darkwebes felületén meglehetősen éles kifakadást indított a WizzAir-el szemben, mondván a cég azt se nagyon tudja, hogy mi zajlik körülötte.

Mindazonáltal mindkét esetnél rengeteg a feltételezés, így akár még az is elképzelhető, hogy a támadások a valóságban nem is történtek meg, vagy annak jellege és mérete nem egyezik a kiberbűnözői csoportok által közzétett információkkal. Mindazonáltal az érintettek gyors, hiteles és teljeskörű informálása életbevágóan fontos (lenne).

Minderről az jut eszembe, hogy egy igazán szerencsétlen lengyel munkaügyi kirendeltséget, a Powiatowy Urząd Pracy w Żorach-t 2025.03.30-án (vasárnap) sikeresen megtámadta a NightSpire kiberbűnözői csoport.

És vajon mi történt ezután? Hetekig vizsgálgatták, hogy mi történt? Jogi és kiberbiztonsági szakértők tucatjai álltak munkába megszakérteni a teljesen nyilvánvalót? Lehetséges, de történt valami más is. Két nappal később – hetekkel azelőtt, hogy a csoport egyáltalán lépett volna az ellopott adatok közzétételéért – ugyanis egy riasztás jelent meg a szervezet weboldalán.

A bejegyzés szerint Żory Kerületi Foglalkoztatási Hivatal annak ellenére, hogy biztonsági intézkedésekkel és eljárásokkal rendelkezik a személyes adatok védelme érdekében, ransomware hackertámadás áldozatává vált. A támadás az iroda tartományi rendszereit tartalmazó elsődleges szervereket érintette. A vizsgálat nem talált adatintegritási jogsértést.

A cikk alapján 2025.03.31-én törték fel a Żory Kerületi Munkaügyi Hivatal szervereit, valamint zsarolóvírussal törölték és titkosították az adatokat. Ezek olyan bűncselekmények, amelyeket azonnal jelentettek az illetékes CSIRT-nek, a rendőrségnek és a lengyel adatvédelmi hivatalnak.

„Nem zárható ki, hogy a támadás eredményeként harmadik felek jogosulatlan adatszerzése lehetséges. A bűnözők jogosulatlanul hozzáférhettek a Żory Kerületi Foglalkoztatási Hivatal által kezelt egyes személyes adatokhoz, mint például: vezetéknév és keresztnév, szülők neve, születési dátum, bankszámlaszám, lakó- vagy tartózkodási cím, PESEL-szám, e-mail cím, kereseti és/vagy vagyoni adatok, személyi igazolvány sorozata és száma, telefonszám.”

A fent említett személyes adatokkal jogosulatlan személy jogellenes cselekményeket hajthat végre, azaz:

nem banki intézményektől próbál hitelt felvenni, pl. online vagy telefonon,
polgári jogi szerződések megkötése,
megpróbálni kártérítést kicsikarni,
fiókokat hozhat létre olyan weboldalakon, fórumokon és üzletekben, ahol nincs visszaküldési ellenőrzés e-mailben vagy telefonszámmal,
megpróbálnak hozzáférni az orvosi szolgáltatások nyújtását és az egészségügyi előzményekhez való hozzáférést támogató rendszerekhez.

„Javasoljuk, hogy tegye meg a következő lépéseket az adatok jogellenes felhasználásának lehetőségével kapcsolatos kibertámadások lehetséges negatív hatásainak ellensúlyozására:

a PESEL-szám lefoglalása bármely községi irodában vagy az interneten keresztül megbízható profil, minősített aláírás, e-személyazonosító, m-citizen alkalmazás vagy elektronikus banki bejelentkezési adatok segítségével a következő weboldalon: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie
számla létrehozása a hitelinformációs rendszerben, hogy értesítést kapjon minden egyes hitelfelvételi kísérletről, pl. BIK: https://www.bik.pl/klienci-indywidualni/alerty-bik vagy https://chronpesel.pl
ha azt gyanítja, hogy bűncselekmény áldozatává vált, haladéktalanul értesítse a rendőrséget, és értesítse az adatokat használó szervezeteket, például bankokat, hitelezőket, távközlési hálózatokat
bizonyítékok gyűjtése és megőrzése minden gyanús helyzetben végzett hivatalos tevékenységről egy esetleges bírósági tárgyalás céljából
legyen különösen óvatos, ha váratlan e-maileket, szöveges üzeneteket kap, és különösen ismeretlen feladóktól és ismeretlen számokról érkező hívásokat, és különösen, ha ezek „ellenőrzési célból” történő adattovábbításról szólnak – még akkor is, ha a beszélgetőpartner aktuális adatokat szolgáltat, mivel ez további információk megszerzésére irányuló kísérlet lehet
a pacjent.gov.pl portálon és az mObywatel alkalmazásban elérhető adatok és információk szisztematikus ellenőrzése.”*

Különös, hogy milyen részletes és az esetleges kockázatokat a valódi segítés szándékával bemutatni kívánó tájékoztatást tudott adni a lengyel intézmény mindössze két napon belül az „esetleges érintetteknek”, illetve mindenki másnak is.

*az idézett lengyel weboldal nyersfordításán alapul

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:

Cookie	Duration	Description
cookielawinfo-checkbox-advertisement	1 év	A GDPR Cookie Consent plugin által használt süti, célja a felhasználó sütikkel kapcsolatos tevékenységének, döntéseinek tárolása.
cookielawinfo-checkbox-analytics	11 hónap	A GDPR Cookie Consent plugin által használt süti, célja a felhasználó sütikkel kapcsolatos tevékenységének, döntéseinek tárolása.
cookielawinfo-checkbox-functional	11 hónap	A GDPR Cookie Consent plugin által használt süti, célja a felhasználó sütikkel kapcsolatos tevékenységének, döntéseinek tárolása.
cookielawinfo-checkbox-necessary	11 hónap	A GDPR Cookie Consent plugin által használt süti, célja a felhasználó sütikkel kapcsolatos tevékenységének, döntéseinek tárolása.
cookielawinfo-checkbox-others	11 hónap	A GDPR Cookie Consent plugin által használt süti, célja a felhasználó sütikkel kapcsolatos tevékenységének, döntéseinek tárolása.
cookielawinfo-checkbox-performance	11 hónap	A GDPR Cookie Consent plugin által használt süti, célja a felhasználó sütikkel kapcsolatos tevékenységének, döntéseinek tárolása.
viewed_cookie_policy	11 hónap	A GDPR Cookie Consent plugin által használt süti, célja a felhasználó sütikkel kapcsolatos tevékenységének, döntéseinek tárolása.

Cookie	Duration	Description
_ga	2 év	Ez a sütit a Google Analytics. Feladata a látogató tevékenységének és a weboldal használatának nyomon követése. A süti véletlenszerűen generált, anonimizált adatokat használ.
_ga_WBTPGN10KT	2 év	Ezt a sütit a Google Analytics telepíti.
_gat_gtag_UA_103607673_1	1 perc	Ezt a sütit a Google alkalmazza a felhasználók megkülönböztetésére.
_gid	1 nap	Ezt a sütit a Google Analytics szolgáltatás alkalmazza. Segítségével meghatározható egyes oldalak látogatottsága és látogatói forgalma.
CONSENT	16 év 5 hónap	Ezek a sütik beágyazott Youtube videók miatt vannak jelen a rendszerben. Ezek anonim felhasználási adatokat rögzítenek, például, hogy hány alkalommal került a videó megjelenítésre. Amennyiben be van jelentkezve Google fiókjába, úgy további adatok is rögzítésre kerülhetnek.

Cookie	Duration	Description
IDE	1 év 24 nap	A Google DoubleClick által használt süti, amely a látogató érdeklődési körének megfelelő reklámokért felelős.
test_cookie	15 perc	A doubleclick.net által beállított süti. A célja felderíteni, hogy a felhasználó milyen süti beállításokat alkalmaz.
VISITOR_INFO1_LIVE	5 hónap 27 nap	A Youtube által beállított süti. A weboldalba beágyazott videókra vonatkozó információkat tárol.
YSC	munkamenet	A Youtube által beállított süti. A weboldalba beágyazott videókra vonatkozó információkat tárol.

Katonai kiberhigiénia

Tokaji drónfelderítés

Tovább erősödnek a török-magyar védelmi ipari kapcsolatok

Megújult a Katonai Nemzetbiztonsági Szolgálat weboldala

Gondolatok a vietnámi fordulat kapcsán

Ransomware – célkeresztben a védelmi szektor

Ezúttal tényleg feltörték a török dróngyártó Baykar rendszereit?

Signal

Megjelent Magyarország új kiberbiztonsági stratégiája, amely immáron már nem nemzeti

A hírközlési szolgáltatóknak támogatniuk kell majd a magyar katonai kibertér műveleteket

Nem lesz idén bekapcsolva az arcfelismerő rendszer a siófoki térfigyelő kamerákban

A szolgáltatóknak ellenőrizniük kell a kapcsolati ügyféladatok valódiságát

Katonai kiberhigiénia