El tudod képzelni, hogy egyetlen e-mailben, alig 20 perc alatt kiszivárogtassák a nevedet, címedet, telefonszámodat és e-mail címedet? Ez nem valami rossz sci-fi forgatókönyv, hanem egy valós eset, ami 2025 szeptemberében történt az Egyesült Államokban. Egy Charter Communications nevű nagy amerikai telekommunikációs cég adatvédelmi szakértője kapott egy sürgős adatlekérési kérelmet, amely állítólag a Jacksonville-i rendőrség egyik tisztjétől érkezett. A válasz? Percek alatt megküldték a kért információkat.
A hamis rendőri kérvény mögött egy profi hackercsoport állt
Csakhogy az e-mail nem a valódi rendőr, Jason Corse nevében érkezett – hanem egy olyan hackercsoport tagjától, akik doxing-as-a-service szolgáltatást kínálnak. Ez azt jelenti, hogy pénzért cserébe megszerzik és kiadják mások személyes adatait, amelyeket aztán zaklatásra vagy fenyegetésre használhatnak fel.
Exempt, a csoport egyik tagja nyilatkozott a WIRED magazinnak, és elmondta: „Ez az egész 20 percet vett igénybe.” Szerinte hasonló adatokat szereztek már meg szinte minden jelentős amerikai techcégtől – legyen szó az Apple-ről vagy az Amazonról –, de még olyan kevésbé ismert platformokról is, mint a Rumble videómegosztó oldal, amelyet főleg szélsőjobboldali influencerek használnak.
Hogyan működik ez a trükk?
A módszer egyszerűnek tűnik: a hackerek hamis e-maileket küldenek be a cégek jogi válaszadó részlegeinek, amelyekben magukat rendőröknek adják ki. Ezekben az üzenetekben sürgős adatlekérést kérnek egy adott „célpontról”. A cégek pedig – úgy tűnik – nem mindig ellenőrzik kellőképpen a kérelmek hitelességét.
Exempt megosztotta a WIRED-del azt az információt is, amit a Charter Communications-tól kaptak: egy New York-i „gamer” személyes adatait. Amikor arról kérdezték, aggódik-e amiatt, hogy ezek az adatok hogyan használhatók fel áldozatai ellen, csak annyit mondott: „Általában nem érdekel.”
A sértett és az érintettek reakciója
A „gamer” áldozat nem reagált a WIRED megkereséseire. A Jacksonville-i rendőrség médiafelelőse, Christian Hancock így nyilatkozott: „Nagyon aggasztó hallani, hogy bűnözők ilyen módon adják ki magukat tisztekként, különösen akkor, ha azt állítják magukról, hogy egyikünk alkalmazottai.” Jason Corse tiszt nem kívánt nyilatkozni az ügyről.
A Charter Communications sem adott hivatalos választ az esettel kapcsolatban.
Mennyire ismert ez a probléma?
Bár ez a módszer nem új keletű – évek óta tudunk róla –, most először sikerült mélyebb betekintést nyerni abba, hogyan működnek ezek a doxing-csoportok. Exempt állítása szerint az elmúlt években akár 500 sikeres adatlekérést hajtottak végre hasonló trükkel.
A hacker több dokumentumot és hangfelvételt is megosztott a WIRED-del: hamis bírósági végzések képernyőfotóit, e-mail váltásokat és telefonbeszélgetéseket olyan cégek jogi válaszadó csapataival, akik próbálták ellenőrizni a kérelmek hitelességét. Ami még meglepőbb: Exempt szerint egy jelenlegi rendőr is kapcsolatban áll velük – bár ennek részleteit nem árulta el –, és állítólag együttműködne velük saját fiókján keresztül benyújtva kérelmeket részesedésért cserébe.
Miért hagyják ezt ilyen könnyen megtörténni?
Ez engem személy szerint nagyon meglepett. Hiszen ezek olyan cégek, amelyeknek hatalmas erőforrásaik vannak arra, hogy megvédjék ügyfeleik adatait. És mégis? Egy egyszerű e-maillel átverhetőek. Vajon mennyire komolyak ezeknél a vállalatoknál az adatvédelmi protokollok? Miért nincs szigorúbb ellenőrzés?
A helyzet ráadásul azért is veszélyes, mert ezek az adatok könnyen fegyverré válhatnak zaklatók kezében. Gondolj csak bele: ha valaki hozzáférhet az otthoni címedhez vagy telefonszámodhoz, milyen könnyen válhatsz célponttá online vagy offline fenyegetéseknek.
Mit tanulhatunk ebből?
Az eset rávilágít arra, hogy mennyire fontos lenne minden technológiai vállalat számára egy sokkal szigorúbb és átláthatóbb folyamat kialakítása az ilyen jellegű adatlekérések kezelésére. Nem elég pusztán megbízni abban, hogy aki kéri az adatokat, valóban jogosult rá.
Ezen túl pedig nekünk felhasználóknak is érdemes tudatosabbnak lennünk abban, milyen információkat osztunk meg online és milyen platformokon. A digitális világban sajnos nincs teljes biztonság – de ha többet tudunk arról, hogyan működnek ezek a támadások, jobban felkészülhetünk rájuk.
Záró gondolatok
Ez az egész történet számomra egy figyelmeztetés: nem elég csak technológiai újításokra hagyatkozni vagy vakon bízni abban, hogy egy nagy cég megvédi az adatainkat. Az emberi tényező mindig ott van – akár jó szándékkal dolgozik valaki egy cégnél, akár rosszindulatú szereplők próbálják kijátszani a rendszereket.
Te mit gondolsz erről? Mennyire érzed biztonságban magad online? És szerinted mit kellene tenni annak érdekében, hogy ne lehessen ilyen könnyen visszaélni személyes adatokkal? Írd meg kommentben!
