Ezúton tájékoztatjuk, hogy szolgáltatásunk informatikai környezetét 2026. január 2-án külső, automatizált támadás érte. Az esemény észlelésére, valamint a szükséges védelmi és kárkezelési intézkedések haladéktalan megkezdésére 2026. január 3-án került sor.

A támadás egy széles körben alkalmazott, nyílt forráskódú webszerver-szoftverkörnyezetet érintett, amelyet nemcsak szolgáltatásunk, hanem számos más nemzetközi szervezet is használ. A rendelkezésre álló információk szerint a támadás olyan, korábban nem ismert sérülékenység (ún. zero-day exploit) kihasználására irányult, amelyet a támadók automatizált eszközök (botok) segítségével több informatikai környezetben is megkíséreltek kihasználni.

A vizsgálat során azonosítottuk, hogy az esemény összefüggésbe hozható egy, az Egyesült Államok kormánya által nyilvántartott és kezelt sebezhetőségi adatbázisban (National Vulnerability Database – NVD) CVE-2025-47411 azonosító alatt rögzített sérülékenységgel. Az érintett kormányzati ügynökségek által közzétett információk szerint a sérülékenység bizonyos körülmények között jogosultsági szint megkerülését teheti lehetővé, amely elméletileg rendszerszintű jogosultság megszerzéséhez és adatbiztonsági kockázatokhoz vezethet.
(Hivatkozás: https://nvd.nist.gov/vuln/detail/CVE-2025-47411)

Belső vizsgálataink alapján megállapítható, hogy a sérülékenységgel érintett rendszerkomponens a kérdéses időszakban nem volt aktív használatban, azt felhasználók (az adott időablakban) nem vették igénybe. Jelenlegi ismereteink szerint a támadás nem érintette sem felhasználóink, sem ügyfeleink személyes adatait, és nem áll rendelkezésünkre olyan bizonyíték, amely adatvédelmi szivárgás bekövetkeztét igazolná.

Ugyanakkor – a felelős adatkezelési gyakorlatnak megfelelően – a személyes adatok esetleges érintettsége teljes bizonyossággal nem zárható ki, ezért az eseményt fokozott körültekintéssel kezeljük.

Az esemény észlelését követően haladéktalanul megtettük a szükséges technikai és szervezési intézkedéseket az érintett informatikai környezet elkülönítése, stabilizálása és biztonságának megerősítése érdekében. Ennek keretében átfogó felülvizsgálatot végeztünk rendszereinken, megszüntettük az azonosított kockázati tényezőket, valamint megerősítettük az informatikai működéshez kapcsolódó védelmi, hozzáférés-kezelési és üzemeltetési folyamatokat. A megtett lépések célja a jövőbeni hasonló események kockázatának csökkentése, valamint a szolgáltatás folyamatos és biztonságos működésének hosszú távú biztosítása.

Az eseménnyel összefüggésben felvettük a kapcsolatot a Nemzeti Adatvédelmi és Információszabadság Hatósággal (NAIH), és minden szükséges intézkedést megteszünk annak érdekében, hogy a hatósággal teljes körűen együttműködjünk. Az eseményt adatvédelmi és információbiztonsági szempontból dokumentáltuk, kockázatelemzésnek vetettük alá, és a vonatkozó jogszabályi kötelezettségeinknek megfelelően járunk el.

Amennyiben a jövőben bármilyen, a felhasználókat vagy ügyfeleket érintő releváns új információ merülne fel, arról haladéktalanul tájékoztatást nyújtunk.

Szolgáltatásunk biztonsága és az általunk kezelt adatok védelme kiemelt prioritást élvez, és mindent megteszünk annak érdekében, hogy a hasonló események kockázatát a lehető legkisebbre csökkentsük.

Kovács Botond Kristóf E.V.

Nyilvántartási szám: 58765557

[email protected]