15 millió fájlt lopott el a World Leaks a Mediaworks rendszeréből, ami elképesztő mennyiség, különösen úgy, hogy észrevétlenül tudták megtenni.
Csaknem 15 millió fájlt, 8,5 terabájtnyi adatot szerzett meg és tett közzé a dark weben a World Leaks nevű kiberbűnözői csoport a Mediaworks Hungary Zrt. rendszeréből. A radiocafé Millásreggeli című reggeli műsorában Kovács 4 Zoltán kiberbiztonsági szakértő elemezte az esetet: hogyan dolgozik ez az új típusú zsarolói csoport, miért sikerülhetett ekkora adatmennyiséget észrevétlenül kimenteni, és mi a tanulság az egészből.
Mi az a World Leaks?
A World Leaks 2025 januárja óta aktív kiberbűnözői csoport, amely a korábban Hunters International névvel működő szervezet átalakulásával jött létre. Ami megkülönbözteti őket a hagyományos zsarolóvírus-csoportoktól: ők nem titkosítják az áldozat adatait – nem bénítják meg a rendszert –, hanem egyszerűen ellopják az adatokat, és azzal zsarolnak, hogy nyilvánosságra hozzák azokat, ha nem fizetnek váltságdíjat.
Ez egy újabb, egyre elterjedtebb „üzleti modell” a kiberbűnözés világában. Kovács 4 Zoltán szerint a csoport valószínűleg korábbi zsarolóvírus-csoportok köreiből vált ki, és tudatosan hagyott fel az erőforrás-igényes titkosítással. Áldozataik között vállalatok szerepelnek az USA-ból, Ázsiából és Európából egyaránt – nem szűkítik le működésüket egyetlen régióra sem.
Hogyan sikerülhetett ekkora adatmennyiséget kimenteni?
A szakértő szerint az ügy talán legmegdöbbentőbb eleme nem maga a betörés, hanem az, hogy 8,5 terabájtnyi adatot sikerült teljesen észrevétlenül kiszállítani a Mediaworks rendszeréből. Kovács 4 Zoltán hasonlatával élve: mintha valaki egész éjszaka járkálna ki-be, és pakolná ki a széfből az értékeket – miközben a portás alszik és a kamerák lefelé lógnak.
A kiszivárgott adatok között gyenge jelszavak nyomaira is bukkantak, ami arra utal, hogy az alapvető kiberbiztonsági higiénia sem volt megfelelő szinten. A nagy mennyiségű, észrevétlen adatkivitelt modern rendszerekkel lehetett volna jelezni. Léteznek olyan megoldások, amelyek gyanús adatmozgás esetén automatikus riasztást küldenek, itt ezek hiányoztak.
Nem volt politikai motiváció
A műsorban felmerült a kérdés: szerepet játszott-e a célpont kiválasztásában az, hogy a Mediaworks kormányközeli médiakonglomerátum? Kovács 4 Zoltán válasza egyértelmű: a World Leaks áldozatlistája alapján nem mutatható ki ilyen irányú szelekció. Inkább arról van szó, hogy a Mediaworks sebezhető célpontnak bizonyult, és a csoport megtalálta a gyenge pontot.
A nagy sajtóvisszhang azzal magyarázható, hogy a Mediaworks politikailag érzékeny szereplő. Hozzá tartozik a KESMA (Közép-európai Sajtó és Média Alapítvány) számos lapja, köztük a Magyar Nemzet, a HírTV és az Origo. A World Leaks saját bevallása szerint megkereste a Mediaworksöt, de választ nem kapott, így váltságdíjat sem fizetett a cég, és az adatok nyilvánosságra kerültek.
Érdemes fizetni?
A szakértő szerint a profi zsarolói csoportoknak valóban érdekük, hogy tartsák a szavukat: ha egyszer kiderülne, hogy fizetés után is tovább zsarolnak, elveszítenék reputációjukat, ami az „üzletük” alapja. A World Leaks például külön közleményt adott ki arról, hogy mások a nevükkel visszaélve hamis zsarolásokat folytatnak. Ez is mutatja, mennyire fontos nekik a saját „márkaidentitásuk”.
Ugyanakkor a fizetés korántsem egyszerű: nem jár számlával, az összeg minden bizonnyal jelentős, és a fizetés sem garantálja, hogy az adatok valóban törlésre kerülnek. Ráadásul – figyelmeztet Kovács 4 Zoltán – egy sikeres és nyilvánosságra kerülő támadás más bűnözői csoportoknak is jelzés lehet, hogy érdemes megpróbálni ugyanott bejutni.
Így lehet elkerülni a hasonló katasztrófákat
Kovács 4 Zoltán két konkrét tanácsot fogalmazott meg azoknak a vállalatoknak, amelyek hasonló helyzetbe kerülnek. Az első és azonnali feladat a behatolás útvonalának feltárása és a biztonsági rések befoltozása. A második – és hosszabb távon fontosabb – lépés az adatmozgást figyelő rendszerek bevezetése. Ezek nem akadályozzák meg a behatolást, de jelzik, ha valaki szokatlan mennyiségű adatot próbál kiszállítani – és így megakadályozhatják, hogy egy kis incidensből katasztrófa legyen.
Ki kicsoda, mi micsoda?
- Kovács 4 Zoltán: Kiberbiztonsági szakértő, televíziós és rádiós kommentátor.
- World Leaks: 2025 januárja óta aktív kiberbűnözői csoport, a Hunters International átnevezésével és módszertani átalakításával jött létre. Nem titkosítással zsarol, hanem adatlopással és a megszerzett adatok nyilvánosságra hozatalával.
- Mediaworks Hungary Zrt.: Magyarország egyik legnagyobb médiavállalata, a KESMA ernyőszervezetének tagja. Portfóliójába tartoznak a megyei napilapok, a Magyar Nemzet, a HírTV, az Origo és számos egyéb médium.
- KESMA (Közép-európai Sajtó és Média Alapítvány): 2018-ban létrehozott médiaernyőszervezet, amely több száz kormányközeli magyar médiumot fog össze.
- Dark web: Az internet nyilvánosan nem indexelt, speciális szoftverrel (pl. Tor-böngészővel) elérhető rétege, amelyet kiberbűnözők előszeretettel használnak illegális tevékenységekre, köztük ellopott adatok publikálására.
- Zsarolóvírus (ransomware): Olyan kártékony szoftver, amely titkosítja az áldozat adatait, és váltságdíjat követel a visszafejtési kulcsért. A World Leaks ettől eltérő, titkosítás nélküli, pusztán adatlopáson alapuló módszert alkalmaz.
- Másodlagos zsarolás: Az a kiberbűnözési módszer, amelynél a támadók nemcsak titkosítják az adatokat, hanem azzal is fenyegetnek, hogy azokat nyilvánosságra hozzák. A World Leaks kizárólag ezt a modellt alkalmazza, a titkosítást mellőzve.
- DLP (Data Loss Prevention): Adatvesztés-megelőző rendszer, amely figyeli a szervezeten belüli adatmozgást, és riasztást küld szokatlan mennyiségű vagy irányú adatátvitel esetén.
