„Több mint 18 ezer magyar felhasználó személyes adata került nyilvánosságra a Tisza Világ applikációból — kiderítjük, hogy miért egy ukrán cég állhat az adatkezelés mögött, és milyen nemzetbiztonsági kérdések merülnek fel.”
A közelmúltban napvilágra került, hogy a Tisza Párt mobilalkalmazásából — állítás szerint — akár több mint 18 000 felhasználó személyes adatai szivárogtak ki. A botrány nem csupán adatvédelmi kérdéseket vet fel, hanem nemzetbiztonsági aggodalmakat is: miért pont egy ukrán cég fejlesztett (vagy működtet) egy magyar politikai applikációt? És vajon milyen veszélyekkel kell számolnunk, ha külföldi térből kezelik a magyar állampolgárok adatait?
Ebben az elemzésben átnézzük, mi történt pontosan, milyen szerepet játszhatott az ukrán cég PettersonApps, milyen jogi-adatvédelmi következmények merülnek fel, és mit gondolok én — kockázatok és lehetséges valódi célok — ebből az egész ügyből.
Mi történt pontosan? Az események kronológiája
Adatszivárgás felfedezése és nyilvánosságra kerüléseAz ügy nyilvánosságra kerülése egy Reddit-bejegyzés révén indult: valaki linket osztott meg, amely szerint a Tisza Világ alkalmazásból származó személyes adatokat publikálták. Bár a bejegyzést törölték, a hivatkozott adatbázis az anonpaste.com oldalon továbbra is elérhető maradt.
Milyen adatok szivárogtak ki?
Az elérhető információk szerint az adatok között szerepelnek:
- Név, anyja neve
- Lakcím
- E-mail cím
- Telefonszám
- Az érintettek tényleges földrajzi pozíciója
- Az, hogy melyik egyéni választókerülethez tartoznak
- Kinek az adatai?
- A kiszivárgott információk között nemcsak az egyszerű felhasználók, hanem az alkalmazás adminjai, projekt tagok és „Tisza-szigetek regisztrálói” is szerepelnek. Az alkalmazás hét adminja közül néhány közismert személy — például Radnai Márk, a párt alelnöke — adatai is nyilvánossá váltak (telefonszám, e-mail).
- Az ukrán hátterű cég és az admin Myroslav Tokar
- Az érdekesség az, hogy az adminok között szerepel Myroslav Tokar, akinek LinkedIn-profilja alapján Ukrajnában él és a PettersonApps nevű ukrán cég alkalmazottja.
- A vállalat állítólag mobilalkalmazások fejlesztésével foglalkozik, és több mint 100 főt foglalkoztat.
- A PettersonApps vezérigazgatója egy Oleh Ostroverkh nevű ukrán férfi, akit a közösségi médiában Zelenszkij támogatójaként tüntetnek fel, illetve érintett katonai drónprojektekben civil szervezetként.
- Ez felveti a kérdést: vajon mennyi köze van az IT-tevékenységnek és az ukrán állami (vagy félállami) szervezeteknek?
- Régebbi adatszivárgások – előzmények a Tisza Pártnál
- Ez nem az első incidens: júniusban több száz aktivista személyes adata vált nyilvánossá a Tisza Párt Discord-szerveréről. Akkor a párt vezetése azt állította, hogy lejárató akcióról van szó, de több érintett szerint az adatok a párti struktúrából szivárogtak ki.
Mi állhat a háttérben? Kockázatok, motivációk
1. Nemzetbiztonsági kockázat és geopolitikai motivációk
Amennyiben valóban ukrajnai szervereken vagy ukrán IT-cég férhetett hozzá a magyar felhasználók adataihoz, az többféle veszéllyel járhat:
- Adathozzáférés, profilalkotás, befolyásolás: Az összegyűjtött adatokból politikai profilokat lehet alkotni — például, ki mely párthoz áll közel, hol lakik, milyen választókerületbe tartozik —, és ezek célzott kampányokhoz, üzenetekhez felhasználhatók.
- Kibertámadások, visszaélés: Az adatok segítségével célzott phishing vagy más típusú támadások indíthatók.
- Érzékeny információk külföldi hozzáférése: Ha az adatok külföldre kerültek, akkor egy másik ország számára hozzáférés nyílhat stratégiai információkhoz (például aktivisták személyes háttere).
- Adatfeldolgozás jogi státusza: Ha az adatkezelés nem magyar vagy EU-s jogszabályok szerint zajlott, az illetékes adatvédelmi hatóságoknak komoly dolguk van vele.
2. Politikai jelleg és informatikai megbízhatóság átverése
Lehetséges, hogy a választás nem véletlenül esett ukrán vállalatra:
- Talán olcsóbb, kevésbé szabályozott piacnak tűnt
- Az ukrán fél részéről lehet érdek is abban, hogy információt szerezzenek
- Ha a fejlesztőben, adminban van olyan személy, aki ukrán oldalon áll (például Tokar), akkor a kapcsolati háló, bizalmi lánc is közelebb lehet az ukrán informatikai és politikai struktúrákhoz
3. Adatvédelmi és jogi következmények
- GDPR (EU Általános Adatvédelmi Rendelet): Magyarország is alá van rendelve ennek; ha az adatkezelés nem volt jogszerű, felelősség terhelheti az adatkezelőt (Tisza Párt).
- Hatósági vizsgálatok: A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) már korábbi incidenseknél is vizsgálódott.
- Kártérítési igények: Az érintettek kártérítést követelhetnek, különösen, ha személyes adatukból valamilyen hátrányuk származott.
- Büntetőjogi felelősség: Súlyosabb esetekben adatvédelmi bűncselekmény is felmerülhet.
Saját vélemény: mire érdemes különösen figyelni?
Személyes meglátásom szerint ez az ügy nem csak technikai adatvédelmi botrány, hanem politikai játszma is — amiben az információ mint erőforrás szerepel:
- Célzott adatgyűjtés politikai felhasználásra: Nem kizárt, hogy nem „csupán véletlen szivárgásról” van szó, hanem egy tudatosan felépített rendszer része, ahol olyan adatok gyűlnek, amelyek a választói térképezést nagyban segíthetik.
- Bizalom és hitelesség megingatása: A Tisza Párt hitelessége sérül, ha képtelen megvédeni a támogatóinak adatait — emiatt részben önmagát is gyengíti.
- Ukrajnai oldali politikai célok: Az ukrán félnek érdeke lehet politikai nyomást gyakorolni, információhoz jutni, vagy legalábbis hálózatokat építeni Kárpátalján és azon túl.
- A bystander-hatás veszélye: Ha egy politikai szervezet egyszer engedi át az adatkezelést olyan félnek, amely nem teljesen átlátható, akkor az ilyen kockázatokat többször is megismétli.
- Szükség van teljes nyilvánosságra, független vizsgálatra: A párthoz intézett kérdések nagyon kevés információval tértek vissza, ami nem elegendő. Egy független adatvédelmi audit és átlátható elszámolás lenne az elengedhetetlen.
Nem véletlenül pont most került elő ez az ügy, és nem véletlen, hogy ukrán cég neve merült fel. Politikai, stratégiai és informatikai szempontból is figyelemre méltó — és veszélyes lehet, ha nem kezelik megfelelően.
Mit tehetnek az érintettek? Ajánlások
- Azonnali független audit (külső adatvédelmi szakértőkkel).
- Az érintettek értesítése, kártérítési opciók felajánlása.
- Teljes nyilvános beszámoló (milyen adatok kerültek ki, honnan, mikor).
- Belépési és adatvédelmi protokollok újragondolása: jelszóhasználat, többszintű jogosultság, titkosítás, minimális adattárolás elve.
- Jogi eljárások kezdeményezése: NAIH-vizsgálat, büntetőfeljelentés, ha indokolt.
- Politikai kommunikáció: tisztázni, hogy a pártnak mi volt az adatkezelési stratégiája, és miért vállalt külső együttműködést.