Az Egyesült Királyságot kormányzó Konzervatív Párt éves kongresszusa informatikai szempontból is bekerült az évkönyvbe, miután az eseményhez rendelt mobilos konferenciaalkalmazás egy egészen ostoba hiba miatt hozzáférést engedett a regsiztráltak olyan adataihoz (és az adatok módosításához), mint a név, az emailcím, a telefonszám, a munkahely és beosztás vagy a feltöltött fotó. Az interaktívnak nevezett, élő visszacsatolást biztosító applikáció elvileg a tory párt fiatalos és a modern technológiában is naprakész arculatát emelte volna ki (az eredeti tervek szerint a kultuszminiszter hologram formájában is megjelent volna az eseményen), a vége azonban a BKV online jegyértékesítő rendszeréhez hasonló felsülés lett.

A dolog lényege, hogy az alkalmazásba való belépésre a felhasználó emailcímére volt szükség, miden más autentikáció (például a hozzá tartozó jelszó) nélkül. Ezt megtippelni sem mindig nehéz, de a kongresszus résztvevői közül sokan voltak, akik a hivataluknál fogva teljesen publikus címmel rendelkeznek, és ezt használták az applikációban is. A jól sikerült rendszer fejlesztője, egy Crowd Comms nevű cég közleményben nyugtatott meg mindenkit, hogy a probléma csak a résztvevők bizonyos hányadánál jelentkezett – vagyis csak a résztvevők bizonyos hányada volt elég érdekes hozzá, hogy a próbálkozók célkeresztjébe kerüljön.

Politikai vakfoltok az adatkezelésben

A jelenleg parlamenti képviselő, korábban újságíró Michael Gove profilképét például lecserélte valaki egy Rupert Murdoch-portréra, Boris Johnson korábbi külügyminiszternek pedig nem csak a fényképét, de a nevét és a beosztását is átírták, nem kifejezetten hízelgő módon. Néhány képviselő címét és telefonszámát a Twitteren is megosztották (fent a Boris Johnson profiljához tartozó kép látható), innentől nem csoda, hogy az érintettek – nevezzük így – tréfás leveleket és hívásokat kaptak. A brit adatvédelmi hatóság már vizsgálódik az ügyben, legelőször is arra kíváncsiak, hogy az adatkezelő a GDPR-nak megfelelően valóban 72 órán belül megtette-e a szükséges lépéseket ahhoz képest, hogy először felmerült a jogsértések lehetősége.
 

forrás: Twitter @MintRoyale

Az biztos, hogy a párt tájékoztató levelét majdnem egy teljes nappal azután – de még az esemény előtt – küldték szét, hogy a szóban forgó elérhetőségeket valaki vagy valakik már nyilvánosságra hozták. A levél egyébként nem tartalmaz bocsánatkérést, helyette inkább a fejlesztő cégre mutogat, ahol saját bemondásuk szerint 30 perc alatt kiküszöbölték a hibát. Az egyelőre nem világos, hogy az óra mikor kezdett ketyegni, vagyis az első tweetek megjelenéséhez képest mikor értesültek legelőször a lehetséges visszaélésekről. Más kérdés, hogy a Konzervatív Párt nemrég a törvénytelenül bonyolított DM-hívások ügyét is megúszta, és lehet, hogy most sem kell nagyon aggódnia.

A kommentárok szerint nem is elsősorban a mostani incidens közvetlen következményei lesznek érdekesek, hanem a pártok adatkezelési gyakorlatába vetett bizalom további eróziója. Az elmúlt időszakban az Egyesült Királyságban is kiderült, hogy a politikai pártok (oldalaktól függetlenül) elég lazán értelmezik az adatok megszerzésére és kezelésére vonatkozó előírásokat, amikor például potenciális szavazókat kell felpakolniuk a levelezőlistákra. Mindehhez pedig hozzáadódnak a közösségi médiát is körbejáró sztorik a jelszavukat az irodán keresztül kiabálva megadó vagy a munkahelyi gépükön pornót tároló brit képviselőkről.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »