A BSI nevezési rendszere biztonságos

 

Februárban megküzdöttünk egy hekkertámadással, azóta online nevezési rendszerünk biztonságos, ám a felhasználóknak is akad tennivalójuk. Hogy pontosan mi mikor történt és mire érdemes odafigyelni, az alábbiakból kiderül.


Kedves Nevezőink!

Rendkívül elfoglaltak voltunk az elmúlt hétvégén, pedig nem versenyt szerveztünk, hanem a nevezési rendszerünkkel kapcsolatos híreket, álhíreket és rémhíreket ellenőriztük.

Nézzük a tényeket:

  • 2009 óta működött zavartalanul az online nevezési felületünk, amelyet egy külsős partnerünk fejlesztett.
  • 2016. február 8-án értesültünk róla, hogy a rendszerünket feltörték. Rosszindulatú hekkertámadás áldozatai lettünk, felhasználóneveket, e-mailcímeket és online nevezéshez használt belépési kódokat szereztek meg.
  • Nevezési rendszerünket azonnal leállítottuk, a fejlesztő cég és más szakértők bevonásával tovább emeltük a biztonsági szintet, majd február 15-én újraindítottuk rendszert.
  • Erről valamennyi felhasználónkat (kb. 90 ezer fő) e-mailben értesítettük, az információt az összes internetes fórumunkon is megjelentettük.
  • Február 15. óta csak és kizárólag a régi jelszó módosításával lehet a nevezési rendszerünket igénybe venni. Aki belép a honlapra, az csupán akkor tud nevezni, ha ezt megteszi. Sok ezer nevezés érkezett azóta.
  • A hekkertámadás eredményeként az ellopott adatok megjelentek a neten, és ezt a tényt jelentette meg az március 31-én Origo.hu, de előtte bejelentette a nemzeti hatóságnak, hogy az adatok eltávolítása mielőbb megtörténjen. Ezt követően mi is felvettük a kapcsolatot a govCERT-tel (Nemzeti Kibervédelmi Intézet Kormányzati Eseménykezelő Központ), illetve kollégáink közvetlenül is kérték az adott honlapokat a listák törlésére. Ez sok helyen már meg is történt.
  • Munkatársaink megerősítették, hogy a nevezési rendszert - a folyamatos próbálkozás ellenére - február 15. óta nem érte újabb "sikeres" hekkertámadás, biztonsággal használható.
  • Az ellopott adatok sokáig felbukkanhatnak a jövőben. Ezek alapján spamek is érkezhetnek a felhasználókhoz, amint arra már volt példa a mai napon is. Ezeket bejelentjük a hatóságnak, de többet tenni nem tudunk.
  • Mindenkitől elnézést kérünk a jelentkező kellemetlenségekért!
  • Amire még felhívnánk a figyelmet, az a jelszóhasználat. A felhasználók döntő többsége nem érti - eddig én sem értettem -, hogy miért kell erős és egyedi jelszavakat használni. A bűnöző hekkerek csak annak az adataival tudnak/tudtak visszaélni, aki azonosakat használ több helyen is. Javasoljuk mindenkinek, hogy gondolja át az eddigi gyakorlatát.

Kocsis Árpád
BSI versenyigazgató

Korábbi tájékoztatásunkban írt kérésünket újra megerősítjük: amennyiben a BSI nevezési rendszerében használt e-mail cím/felhasználónév/jelszó kombinációt más felületeken is használod, kérjük ott is változtasd meg haladéktalanul a jelszót, nehogy illetéktelenek feltörhessék a fiókodat. A biztonságos internetezés érdekében ne használj azonos e-mail cím/felhasználónév/jelszó kombinációt több felületen.

Fontos további tudnivaló, hogy az adatbázisban bankkártya és egyéb fizetési információkat nem tárolunk, azokat nevezéskor a felhasználó az OTP Bank biztonságos háromszereplős fizetési felületén adja meg, semmilyen módon nem kerülnek a birtokunkba, így azokat nem érintette a februári támadás.