Összedobtam egy oldalt amin ellenőrizhetitek, hogy az email címetek benne volt e a Tisza Világos adatszivárgásban
Posted by Cool-Ad552@reddit | programmingHungary | View on Reddit | 91 comments
Az oldal elérhető itt: https://randomszamok.github.io/tiszavilag_leak_check/
A technika hasonló a switch erp check oldalamhoz, ha valakit érdekel, itt tudja bogarászni a felmerült témákat: https://www.reddit.com/r/programmingHungary/comments/1ftvhv5/%C3%B6sszedobtam_egy_oldalt_amin_ellen%C5%91rizhetitek_hogy/
Ctrl+U szabad. :)
PotatoLoose9307@reddit
Az egyebkent igaz hogy ukran IT ceggel csináltatta a tisza azt az oldalt? Ha igen gratulálok nekik....
Ildicow@reddit
Nem nagyon lesz olyan nagyobb EU cég, ahol nincs ukrán/orosz/magyar/román/stb munkavállaló. Szóval hacsak nem valami fan csinálja, akkor olyan bérenc-séget húznak rá, amilyet csak akarnak.
Cool-Ad552@reddit (OP)
Nem láttam rá bizonyítékot.
Hairy-Dog3523@reddit
Köszi hogy megcsináltad. A keresztnevem alapján sikerült felkerülnöm a listára talán.
Jabar_80@reddit
Legjobb módja a tiszás emailek gyűjtésére. 🤣
VoidRippah@reddit
engem csak az érdekel, hogy bárki megtalálta-e magát benne, mert nekem a teljes leak kamunak tűnik
Cool-Ad552@reddit (OP)
Ez engem is érdekelne de még senki nem jelzett hogy megtalálta volna.
darkage72@reddit
Én megtaláltam egy ismerősömet (akiről tudom hogy aktív szigetes) a nyers, nem hashelt txt-ben.
milkcutie314@reddit
sziget tag leak volt korábban
btwMatt@reddit
Én benne vagyok, sajnos nem kamu, sok tiszás ismerősöm van benne, valódi felhasználónévvel. Lehetetlen, hogy ne történt volna szivárgás.
onehedgeman@reddit
Őszinte leszek, egyedül te mondtad eddig redditen, hogy benne voltál és még posztot is írtál róla ami az óta törölve lett.
Nem mondom, hogy kilóg a lóláb, de kikandikál
TheBlacktom@reddit
Ez valótlan.
agtalpai@reddit
a sajtó is talált olyan résztvevőket, akik szerepelnek benne, és tiszás aktvisták.
Én ma leszedtem a leaket, és Excelben néztem pár dolgot (szögezzük le, hogy nem tudom, hogy mit kell megadni regisztrációnál, vagy épp mi számolódik ki geocode/geolokáció alapján):
VoidRippah@reddit
ezt honnan tudni? nem vagyok valami tájékozott választókerületek kapcsán, de hacsak nem az a helyzet, hogy minden kerültben ugyanannyian vannak ez nem tűnik egy triviális check-nek, sőt nekem ez egy kifejezetten nehezen ellenőrizhető dolognak hangzik
agtalpai@reddit
mármint melyik részére gondolsz, amit írok/kérdezel (a ma délben talált dumpból, Excellel és Google kalkulátorral, Wikipedia adatokkal dolgozom):
agtalpai@reddit
bocs, csak így tudok kommentelni, valószínűleg túl hosszú volt az eredeti komment, szóval második rész:
Ha a ma lehúzott dumpban 1148 rekord van a Customer:Address:Current:OEVK adatra, akkor a (Customer:Address:Current:OEVK[rekordok száma] x 8370 ( = 9.608.760) kb. kiadja Magyarország mai lakosságát, 9.603.634) - bár ez kb. azt jelentené, hogy mindenki a Tiszára szavaz: de ahogy lentebb is írom, nem faktoráltam/súlyztam bele semmit, ez egy lakosságszám-arányos elemzés volt; vagyis arra voltam kíváncsi, hogy egy datasetben random húsz értékből (19 megye+Budapest) random osztottak-e ki valamilyen értéket, vagy tényleges tolódás adódik-e megyei szinten.
Ha nem nézzük a közvéleménykutatási eredményeket - mert ezt tényleg nem akartam belekeverni és súlyozni - és azt sem akartam súlyozni, hogy egy Tisza-appot hány fideszes szavazó tölt le és használ akkor lent vannak az adatok.
Innen tovább - hozzátéve azt, amit a városok alulreprezentáltsága miatt írtam korábban:
Sajnos az OEVK és a települések adatai nagyon nagy eltérést mutatnak - nem tudom, hogy ez éppen regisztrációs hiba miatt van a Tisza oldalán - pl. feltétlen várost akarnak bekérni egy regisztrációs lépésnél, és nem települést - és nem tudom, hogy mi alapján van kiszámolva az OEVK helye, de lakosságarányosan nézve kb. kiadja, hogy valós a leak (ha elfogadjuk, hogy a közepes- nagyvárosokban a Tisza vezet, a községekben meg a Fidesz) - pl. Csongrád megyében Szeged és körzete (onnan járnak Szegedre dolgozni), Hódmezővásárhely (=Csád), Makó és Kistelek kiadhat egy felülreprezentált részt; de ugyanígy a jóval szabdaltabb, közepes városokban kevésbé ellátott Szabolcs-Szatmár-Bereg megye meg nem.
AlteRedditor@reddit
De ez szerintem nem sokat jelent, hogy vannak benne aktivisták, akik tényleg Tiszások. Az ő adataikat simán máshonnét is összekukázhatták. Itt azt kéne nézni, hogy kik azok, akik az applikáció után lettek aktivisták és az ő adataik benne vannak-e, mert az garantálná, hogy tényleg a Tisza Világ-ból leakelt ki.
btwMatt@reddit
Megértem, hogy így gondolod. Azért töröltem le elsősorban a posztot, mert nekem sem volt elég információm az egésszel kapcsolatban, így elhamarkodottnak éreztem, illetve felbaszott az, ahogy sokan reagáltak. És nyilván a tiszának sem szeretnék/szerettem volna kárt okozni. Ettől függetlenül biztos vagyok abban, hogy történt adatszivárgás.
Difficult-Temporary2@reddit
mas is mondta
VoidRippah@reddit
oké ez eddig egy, de hát ugye vaktyúk is talál szemet, bőven elképzelhető, hogy volt valamiféle limitált adatuk, ami köré építettek még egy rakat kamu recordot, hogy a semmi valaminek tűnjön. szóval a kérdés is valójában az, hogy hány %-a az adatoknak valós....2% vagy 92%? (esetleg 100%)
Eryniell@reddit
Sajnos igen.
BuffaloInteresting92@reddit
Sziget alapító, moderátor és titkár akit megtaláltam
milkcutie314@reddit
CTRL+F
PistaHHH@reddit
Lehet tök banális kérdés, de én nem értek semmi ilyenhez, de kíváncsi vagyok. Hogy lehet az, hogy a program azt írja ki az adatbázisra, hogy megtalált benne felhasználó alapján, de ha a konkrét adatbázisban keresek, akkor nem találok semmi rám utalót? (abban az adatbázisban keresem, amit az index tett közzé, és az anonpaste-en van)
Inner-Lawfulness9437@reddit
volt a teljes dump, meg egy minta belőle ami kisebb volt (de az oldalon nem egyértelmű, hogy alapból azt látod), melyikben nézted?
atleta@reddit
Hol volt a teljes dump? Az index cikkben lévő linken kb. 1200 sornyi adat van. Volt másik is?
Inner-Lawfulness9437@reddit
ott a másik válaszban
atleta@reddit
Melyik masik valaszban? Erre gondolsz?
Merthogy ez nem valasz a kerdesemre. Vagy te azt hivtad mintanak, hogy alapbol az anonpaste nem mutatta a teljes file-t, ami amugy nem a teljes dump, legalabbis az link, ami ala azt a masik valaszt irtad, hanem, ahogy mondtam, csak 1200 sornyi adat van benne. Sómór meg dánlód után is. A teljes adatbazisban a betyarok szerint 18000 ember szerepelt. Vagy legalabbis ennyit szedtek le.
Szoval te tudsz masikrol, vagy ez az egy van? Mert, ha csak ez kerult nyilvanossagra, az felvet nehany erdekes kerdest.
Inner-Lawfulness9437@reddit
... mert te a valid sort tartod sornak, ők meg az összes sort a kamu/hiányzó adatokkal is. Az a pár megás attached file a teljes tudtommal.
atleta@reddit
Az also csatolt file volt a megoldas, azt nem vettem eszre, Koszi. Eddig azt hittem, hogy csak egy mintat raktak ki, es gyanus volt, hogy olyan ismerosoket zargat a kormany propaganda, akik abban nincsenek is benne. Az ugy eleg pikans lett volna.
PistaHHH@reddit
https://anonpaste.com/share/tiszavilaghu-ccbb2cd24f
Inner-Lawfulness9437@reddit
de itt a "show more" után nézegetted, vagy alul leszedted az "attached file"-t?
PistaHHH@reddit
Csak a show more-t néztem, de akkor majd le is töltöm, köszi
BlueberryCute5721@reddit
köszi, nagyon jo kezdeményezés! en nem vagyok benne
Rus_T_Howitzer@reddit
viszont így már benne vagy egy MÁSIK adatbázisban
Cool-Ad552@reddit (OP)
Kérlek mesélj még... Az oldal konkrétan nem képes semmiféle adatot sehová továbbítani, akár ki is lőheted a netet miután betöltött és ugyan úgy fog működni.
d1722825@reddit
Lehet a github webszerver logjaira gondolt.
Amúgy biztos rendben van jogilag a kiszivárgott email címek sha256 hashének tárolása?
Email címeknek nem túl nagy az entrópiája, szóval szótárral + brute-force-al valószínűleg könnyen "feltörhető" ez a pszeudonimizálás, és akkor már más emberek személyes adatait kezeled.
Cool-Ad552@reddit (OP)
Felhasználóneveket hasheltem csak, azok magukban nem számítanak személyes adatnak. Sajna a legtöbb recordból hiányzik az email cím, az egyetlen distinct mező a felhasználónév volt. Ha jól tudom akkor az email cím sem számít önmagában személyes adatnak, főleg nem titkosított formában.
Illetve nem hiszem hogy lenne értelme bruteforceolni olyan hashelt adatokat amik jelenleg nyíltan elérhetőek az interneten.
GM8@reddit
Az emailcím szerintem személyes adat, mert azonosított vagy azonosítható személyre vonatkozó adat (ez a GDPR definíciója). A felhasználónév is lehet személyes adat, amennyiben a falhasználónév tulajdonosa a kontextusból, pl. a mellé rendelt emailcímből azonosítható.
Viszont a GDPR azt is kimondja, hogy az anonimizált adatok nem tartoznak a szabályozás hatálya alá, amennyiben az anonimizált adatokból nem állapítható meg többé az érintett személyazonossága.Ennek a feltételnek a hashelés szerintem megfelel, de ezt amúgy jogszabály már nem mondja ki, ezt csak konkrét ügyben tudná a bíróság kimondani.
Viszont a hash-elés folyama során OP személyes adatokat kezelt, amihez nem volt hozzájárulása. Erre vonatkozóan viszont felmerülhet a jogos érdek, mint jogalap, ami szerintem meg is áll, mert az érintettek érdeksérelme, tekintve, hogy az adatok nyilvánosak, effektíve nulla, és ezzel áll szemben az OP által végzett adatkezeléshez fűződő érdeke, de hát a nullával szemben k bármi megállja a helyét. Ugyanakkor a jogszerűséghez egy érdekmérlegelési teszt és annak a dokumentációja is kéne hivatalosan.
Összességében tehát szerintem OP nem sérti senki személyes adatihoz fűződő jogát, de a tevékenysége ettől függetlenül feltehetőleg nem teljesen szabályszerű.
d1722825@reddit
u/Cool-Ad552
AFAIK felhasználónév is személyes adat, annyira, hogy a GDPR még kifejezetten nevesíti is (általam kiemelve):
„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
Személyes adatnak nem kell egyedinek lennie, a (normál IRL) neved is személyes adat, pedig könnyen lehet, hogy más is van, akit ugyanúgy hívnak.
Egy sima hash-elt felhasználónév / email cím szerintem nem feltétlen meríti ki az anonimizáció követelményeit, mivel a kis entrópia és az nagyon olcsó sha256 hashing miatt. Egy mai GPU-n egy csomó reddit-es felhasználónév pár óra - pár nap alatt brute-force-olható.
Anonimizálás feltétele:
Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. Annak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését.
Általában nagyon nehéz ténylegesen anonimizálni egy adathalmazt:
https://www.wired.com/2007/12/why-anonymous-data-sometimes-isnt/
GM8@reddit
Szerintem:
Az azonosíthatóság a kritérium, tök mindegy milyen jellegű az adat. Ez alapján pl ha az usernevem az, hogy 9m85tq6zi5dcn734y és semmi más adatpont nem kapcsolódik ehhez, az nem személyes adat, mert nem lehet az alapján azonosítani. Ha mellette a user táblában ott a rendes nevem, lakcímem, adószámom stb, akkor ezekkel együtt már a 9m85tq6zi5dcn734y is személyes adattá válik. Tehát nem lehet izolációban vizsgálni, hacsak nem izolált maga az adattörzs is. Ha én az user táblából kidumpolom a username oszlopot, és nincs mellette ott a többi adat és odaadom neked, akkor a te szemszögedből nem vagyok azonosítható, szóval szerintem önmagában nem is személyes adat, hiszen nem vagyok annak az adatnak a kontextusában azonosítható természetes személy. Ha az usernevem a teljes nevem, anyám neve és születési dátumom, akkor már más a dolog. És innentől kezdve eléggé nyitott a kérdés, hogy azonosítható vagy-e a nickneved alapján: hát attól függ, hogy mi az a nicknév, használod-e máshol nyilvánosan, joggal feltételezhető-e, hogy azt te használtad, nem más adta meg ugyanazt véletlenül stb. Ebből kategorikus igen válasz nem lesz, legfeljebb egyes esetekben lehet rámutatni, hogy a nickneved az önmagában kielégíti a személyes adat kritériumát, de az a kivétel és nem az általánosság se nem az alapértelmezés.
Az is érdekes, hogy a brute-force-olással történő adatkinyerés keletkezteti-e az érintett személy azonosíthatóságát. Szerintem ez sem fekete-fehér, ezt konkrét ügyben tudná csak eldönteni a bíróság, mert számtalan dologtól függ. Azt mondod kicsi a felhasználónevek entropiája, de tipikusan felhasználónév tetszőleges alfanumerikus azonosító lehet, és a hosszára sem szokott lenni szigorú megkötés. Szóval mi alapján mondod, hogy kicsi? Meg mi számít elégségesnek? 10 kör SHA-256 már elég lenne? Vagy 100, vagy 1000? Hol a határ? Lehet erre kategorikus választ adni, miközben látjuk, hogy a különbség valójában kvantitatív és nem kvalitatív?
d1722825@reddit
Az azonosíthatósághoz nem kell szem.ig.számhoz vagy hasonlóhoz visszavezethetőnek lennie a személyes adatnak.
Az, hogy reddit user GM8 vagy u/GM8 az személyes adat, mivel megkülönböztet téged minden más embertől (nem lehet két ugyanolyan nevű felhasználó redditen).
At its most basic form, whenever you differentiate one individual from others, you are identifying that individual. Any individual who can be distinguished from others is considered identifiable.
https://gdpr.eu/eu-gdpr-personal-data/
Igen, ez egy sokkal finomabb kérdés, de szerintem a GDPR erre is kitér:
az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését.
Ha a technológia fejlődését figyelembe véve évezredek múlva sem lehet visszafejteni, akkor az szerintem elég egyértelműen elégséges.
Ha egy otthoni gamer PC-vel órák-napok alatt vissza lehet fejteni, az szerintem elég egyértelműen nem elégséges.
A legtöbb esetben szerintem nem érdemes azon gondolkozni vagy vitatkozni, hogy hol van az a bizonyos határ pontosan, egyszerűen azért, mert bármilyen megfelelő technológiát (titkosítást, stb.) használva soha még a közelébe sem érsz ahhoz, hogy annak az elégségessége megkérdőjelezhető legyen.
GM8@reddit
De itt összekapcsoltad más adattal. Én továbbra is felvetem, hogy ha én publikálok egy SHA256 listát, amiben te vagy megtalálsz egy vélt vagy valós felhasználónevet vagy nem, abból nem tudsz meg semmit senkiről, mert hiányzik legalább az a kiegészítő adat, ami az azonosítást egyértelművé tenné, nevezetesen pl. nem tudjuk, hogy honnan származik a dump.
Ez így jelenleg hasonlít arra, hogyha rákeresek bármilyen személyes adatomra a bábel könyvtárban, akkor lesz rá találat. Ettől még nem történik személyes adat kezelés, a személyes adatom nem az adatbázisból származik, hanem abból a külső forrásból, ami lehetővé tette a keresést.
Persze nem ugyanaz, mert a bábel könyvtárban by-definition tudjuk, hogy minden elképzelhető adatom benne lesz, míg a hash listában nem, de a lényegen nem változtat, hogy nekem konkrétan tudnom kell azt a bizonyos adatot, ahhoz, hogy felfedjem, hogy benne van. Tehát az egyetlen információ, amit megszerzek az nem az adat,amit felfedek, hanem csak a tény, hogy az adat benne van. De mivel nem tudjuk, hogy mi az, amiben benne van, hordoz-e ez bármilyen információt? Még Shanoni értelemben is maximum 1 bit információt tud hordozni: benne van vagy nincs benne. De köznapi értelemben az az 1 bit is értelmetlen: nem jelent semmit. Egy érme feldobása ugyanennyit mond el bárkiről, mint hogy benne van-e egy random string a listában vagy sem.
GM8@reddit
Amúgy érdekes cikk, habár én úgy láttam másról szól: nevezetesen hogy más forrásból rendelkezésre álló adatokkal kiegészítve de-anonimizálható lehet egy adatbázis.
Amúgy ebben az értelemben eléggé hiányos a GDPR, mert sok esetben pont a benne foglalt kritériumok miatt nem az adat alapján dől el, hogy mi számít személyes adatnak: Ha én más forrásból származó adatokkal összevetésben be tudlak azonosítani,akkor személyes adat az én vonatkozásomban, de aki nem fér hozzá azokhoz a kiegészítő adatokhoz, annak számára továbbra sem az, ami röhely, mert ezzel azt mondja, hogy semmilyen adatról nem lehet eldönteni, hogy személyes adat-e önmagában, hanem mindig csak konkrét esetben és ugyanaz az adat lehet A személy kezében személyes adat, míg B kezében meg nem. Hát ezt így könnyű ám alkalmazni...
d1722825@reddit
Igen, ezért írtam, hogy nagyon nehéz ténylegesen anonimizálni egy adathalmazt.
A GDPR kifejezetten említi, hogy nem kell hogy valaki közvetlenül azonosítható legyen.
Igen... ilyen az, amikor jogászok meg politikusok foglalkoznak technológia kérdésekkel.
De amúgy ott van az is, hogy egy fénykép az arcodról az nem tartozik bele a speciális kategóriájú személyes adatokba, de ha bárki megméri a szemeid / orrod / száj-széleid távolságát a kép alapján akkor az már biometrikus adat és beletartozik a speciális kategóriába...
klenium@reddit
127ab235495d662b487dfdb240c016c4733af447a7fc20886c43444b02add0aa
GM8@reddit
alany, állítmány, valami?
klenium@reddit
Ha kiragasztják a homlokukra a nicknevet, akkor az is személyes adat, beazonosításra alkalmas. Ha meg random generált temporary email cím, akkor az nem személyes adat önmagában. Szóval a beazonosítás lehetősége a lényeges.
Nem tudom milyen nevek voltak ebben, de ha eléggé egyediek, és ismerősök beazonosíthatók azok alapján, akkor szerintem személyes adat a nicknév, mert ellenőrizni tudod, hogy egy ismerősöd benne volt-e, pedig lehet, ezt nem kötötte az orrodra. A funkció tekintetében a sha nem ad igazi rejtést, mivel Gipsz Jakab így is kikereshető (sőt a sha még magamnál is kiszámítható, és ha ott van, akkor én tudom egy random értékből hogy az Gipsz Jakab).
GM8@reddit
Hogy tudod ellenőrizni? Ahhoz tudnod kell a nicknevét. Ha ő elárulja neked a nicknevét, akkor nem a hashelt adatbázisból tudod meg, hogy benne van. Ha meg nem árulja el, akkor sem tudod meg. Az, hogy tippelsz egy usernév stringet és arra van match, az nem jelenti, hogy azonosítottad az illetőt. Honnan tudod, hogy kié az az usernév? Nem tudod beazonosítani, akkor továbbra is teljesül, hogy anonimizált adatról beszélünk, nem személyes adat, nyugodtan kezelhető.
d1722825@reddit
Akkor még egyszer: nem csak az a személyes adat, ami alapján valakit be lehet azonosítani.
A kedvenc zeneszámaim listája Spotify-on az személyes adat. Azért az, mert rám, egy azonosított vagy azonosítható természetes személyre vonatkozik. Akkor is az ha ez esetleg megegyezik valaki másnak a kedvenc zenéivel.
Egy felhasználónév (email cím, telefonszám) mindig személyes adat, mivel az az fő funkciója, hogy azonosítson valakit.
GM8@reddit
Nem is ezt mondtam. Persze hogy nem.
De csak az személyes adat, ami azonosítható személyre vonatkozik. Ha látok egy random nick-nevet, amiből nem tudom, hogy kié, az a puszta léténél fogva nem személyes adat, mert ugyan vonatkozik valakire, de az nem azonosítható.
Szóval nem kell, hogy az alapján legyen azonosítható,de az kell,hogy azonosítható legyen valami alapján.
A kedvenc zenéid listája sem személyes adat, ha nincs ott, hogy kinek a kedvencei és nem társul hozzá olyan egyéb információ,amiből ez kiderül.
klenium@reddit
Bírósági ítélet alapján az email cím nem mindig személyes adat.
A Spotify példában pedig keverted a személyes adat két jelentését. Az egyik az úgymond a szellemi érték, magántulajdon, privátszféra stb., a másik pedig a Personally Identifiable Information, magyarul inkább személyazonosításra alkalmas adat. Eltérő törvények vonatkoznak rájuk.
Alokir@reddit
Aha, szóval már akkor ellopod az adataimat, amikor betölt az oldal /s
GM8@reddit
Nagyon sejtelmes. Melyikben, a 24 kromoszóma-páros szíriuszi magyarok vagy a gyíkemberidéző kriptosátánista laposföldhívőkében?
Cool-Ad552@reddit (OP)
Szívesen! :)
FortuneIndividual233@reddit
Ez az a leak, ami nem is bizonyitott, hogy valodi?
Cool-Ad552@reddit (OP)
Ez egy leak egy csomó személyes adattal. Ezzel az oldallal le tudod ellenőrizni, hogy benne vagy-e anélkül, hogy letöltenéd az adatokat. Az, hogy kitől és hogyan kerültek fel az adatok, nem relevánsak.
FortuneIndividual233@reddit
Marhogyne lenne relevans. Nagyon nem mindegy, hogy honnan kerultek fel az adatok. Es az is keredeses, hogy a benne levo adatok egyaltalan valodiak-e, vagy csak random generalt bullshit.
Nem nehez bruteforceolni egy weboldalt a mar letezo felhasznalonevekre. Eleg venni egy gyakori nevet, mondjuk Kovacs Istvan, es a kulonbozo permutacioival megprobalni regisztralni. Ha visszajon, hogy mar letezik, akkor rogzited, majd generalsz melle random hash-t, mint jelszo, elvegre ugyse visszafejtheto. Es ennel csak kifinomultabb megoldasok leteznek.
Difficult-Temporary2@reddit
Ugyanakkor az adatok egy része biztosan nem kitalált, beszéltünk több érintettel, akik megerősítették, hogy a róluk kikerült adatok valósak, és beazonosítottak több ismerőst is.
https://444.hu/2025/10/07/kulonos-tiszas-adatszivargasbol-epiti-a-fidesz-az-ujabb-ukranozos-kampanyat
FortuneIndividual233@reddit
Persze, de az adatok johetnek barhonnan. Akar egy kubatov listarol is. Nagyon homalyos nekem az egesz ugy.
Difficult-Temporary2@reddit
ez amugy erdekes kerdes
tobb jel is arra mutat, hogy ez egy tiszas lista, vagy legalabbis vannak benne tiszasok
habozni fog-e a NAIH radobni egy tetemes GDPR birsagot a Tiszara valami hulye indokkal, ami akar az eves budget 4%-a is lehet
Kukoricaaakukoricaa@reddit
Ez azért nem így működik. Az a bírság amit írsz letezik de adatvedelmi incidensnél ( pl feltörnek egy rendszert és azert kerülnek ki adatok )nem szokas kivetni. Akkor büntetnek ha a gdpr előirasokat szegik meg.
Difficult-Temporary2@reddit
a feligyeleti szerv es az erintett felek ertesitesenek elmulasztasa peldaul ilyen
nem lenne pelda nelkuli felugyeleti szervet igy hasznalni:
https://www.valaszonline.hu/2023/06/20/allami-szamvevoszek-amerika-penz-ellenzek-buntetes/
Kukoricaaakukoricaa@reddit
Amennyiben bizonyitott hogy tőlük kerültek ki adatok.
Cool-Ad552@reddit (OP)
Kerültek ki személyes adatok, amik összeköthetőek egy felhasználónévvel?
Igen.
Könnyedén ellenőrizhető, hogy benne van e a felhasználóneved a listában?
A fenti módszerrel igen.
Ha valaki benne van, viszonylag gyorsan ki tudjuk deríteni, hogy valósak-e az adatok vagy nem.
FortuneIndividual233@reddit
Amig "Tisza Vilag adatszivargas"-kent hivatkozol ra, addig igenis relevans. Ez pont olyan ragalmazas lehet, mint az is, hogy te most epp egy username srcapper oldalt fejlesztettel. Egy olyan adatbazisra hivatkozol, mint Tisza-s adatbazis, ami bizonyitottan nem is kotheto a Tiszahoz, es mar az adatbazisban is vannak arra utalo nyomok, hogy ez egy kamu.
Cool-Ad552@reddit (OP)
Hol állítottam, hogy az adatoknak köze van a Tisza Párthoz? :)
A tisza világ kifejezés az adatszivárgást közzétevő paste címében szerepel, ezért hivatkozom rá tisza világ szivárgásként. Nem történt vádaskodás.
Csak ismételni tudom magam, az oldal egyetlen célja az, hogy könnyedén le tudd ellenőrizni, hogy a saját adataid kiszivárogtak-e.
FortuneIndividual233@reddit
Az adatszivargast kozzetevo site nem a Tisza vilagrol szedte az adatokat, hanem a tiszasziget.hu oldalrol, ami egy telepules.
https://anonpaste.com/share/tiszavilaghu-ccbb2cd24f
Ha semmi koze a Tisza parthoz, es az adatok nem is a Tisza vilagbol jonnek, akkor miert Tisza vilag leak check a neve? Ezzel az erovel lehetne Facebook leak check is.
Cool-Ad552@reddit (OP)
FortuneIndividual233@reddit
Checkold a target/domaint is.
Cool-Ad552@reddit (OP)
Oké, de a kettő közül csak az egyik a paste címe.
katatondzsentri@reddit
Na de miért nem a Kubatov-listához csináltál keresőt?
/s
Cool-Ad552@reddit (OP)
Ha felkerülsz rá akkor tudni fogod, nem küldik hanem személyesen viszik a spamet. :D
Aggressive-Side4558@reddit
Az enyém sincs benne, pedig elég korán (első napon) regisztráltam.
Alert_Lie_1526@reddit
Same here
Gold-Paper-7480@reddit
Dettó.
SmokeSnake@reddit
Same.
8lgm-Mendax@reddit
Nice try
CT4nk3r@reddit
Hozza kell tenni, hogy nyilvanosan nem kerult ki a teljes adatbazis, amikor en neztem akkor kb 20-30ezer emberbol 1-2 ezer volt benne a txt-ben
Complex-Ask-3436@reddit
én is megnéztem magam, nem szivárogtam ki
Zirowe@reddit
Nice try TEK!
AffectionateAir2272@reddit
Lecsekkoltam, az enyém nem volt benne.
Működik!
Mivel nem is regsiztráltam!
onehedgeman@reddit
Érdekes 13 ismerősöm felhasználónevét kértem el akik regisztráltak, de egyikre sem dob találatot
Cool-Ad552@reddit (OP)
Statisztikailag ez még nem aggasztó, de mindenképpen furcsa. Figyelj a kis-nagy betűkre, szóközökre és ékezetekre. Pontosan kell beírni a felhasználóneveket.
Illetve köszönöm a segítséget, jelenleg még mindig várat magára az hogy megtaláljuk az első matchet. Annak örülnék a legjobban, ha egyetlen egy találatunk sem lenne, ez csak megerősítené a feltételezett adatgazda kijelentéseit.
GM8@reddit
Nem igazán furcsa, ha kamu a leak.
Cool-Ad552@reddit (OP)
Ezzel egyet értek. :D
Terrible-Mango-5928@reddit
Elnézne a forráskódot, valóban csak egy hash találatot néz a felhasználó névvel. Korrekt!
https://github.com/randomszamok/tiszavilag_leak_check
jailbird@reddit
Érdekes... Egy Fideszes haverom nevével regisztráltam hogy felidegesítsem vele, de sajnos nincs a leak-ben, pedig ezen még jobban kiakadt volna.
Cool-Ad552@reddit (OP)
Szívesen reagálnék, de a politikai témájú megjegyzéseimet igyekszem az r/hu-ra korlátozni. :D
Special-Hurry-5050@reddit
2024-05.28 tol letezik ez az app ? Mert ha nem akkor ezek az adatok nem
Cool-Ad552@reddit (OP)
Ha jól rémlik nem, de az adatokban az volt az első timestamp. Feltételezem vagy akkor indult a fejlesztés, vagy dummy adat. Nem szerettem volna spekulálni, így szimplán min-max-ot kerestem a timestampok között.