Márkaépítőnek szánták, de imázsrontó lett a Fővárosi Ásványvíz- és Üdítőipari Zrt. nemrég zárult nyereményjátéka, mert a cég terméknépszerűsítő internetoldaláról hackerek ellopták és nyilvánosságra hozták ötvenezer nyereményre áhítozó játékos személyes adatait. A krízishelyzetbe került vállalat a történtek után napokra hallgatásba burkolózott, helyette az adatrablásról beszámoló honlap adott önvédelmi tanácsokat, az adatvédelmi hatóság elnöke pedig vizsgálatot indított. Komment a „No comment!” hozzáállásról.
AZ EDDIGI LEGNAGYOBB ADATLOPÁSI BŰNCSELEKMÉNY történhetett Magyarországon azzal, hogy a Maxney nevű török hackercsapat feltörte a PepsiCo magyar cégének honlapján lévő promóciós oldalt, ahonnan több mint ötvenezer felhasználó személyes adatait, jelszavait lopták el és publikálták az interneten. A történtekről a Cyberwar News nevű hackerportál számolt be, cikkéhez csatolva azokat a linkeket is, amelyeken tizennégy külön fájlra bontva a Pepsi magyar nyereményjátékára regisztrált felhasználók személyes adatai, köztük telefonszámok, jelszavak tölthetők le. A hírt átvette az Anonymous hackercsoport magyar részlege, amely Facebook-oldalán tette közzé az akció részleteit. Erre mozdult rá az origo.hu hírportál: a hazai médiumok közül elsőként hozta, hogy „súlyos adatrablás” történt a magyar Pepsi honlapján (2012. október 13., szombat, 15:15 óra).
A HACKEREK SZÁNDÉKOSAN választhatták célpontjuknak a Pepsit, és tudatosan időzíthették akciójukat szombatra. A Pepsi ugyanis világhíres brand, nevére figyelnek, pláne, ha baj történik vele, a szombat pedig általában hírhiányos időszak a médiában. Ha jó eséllyel címlapra akartak kerülni a kiberbűnözők, akkor kevés alkalmasabb céget és időpontot kereshettek volna. Mégis csalódhattak kicsit: a világháló magyar szegletében szombat délutántól néhány órán át ugyan sorra jelentek meg, utána azonban megritkultak a sztorit taglaló tudósítások – vélhetően azért, mert alacsony szintű a magyarok adatvédelmi tudatossága. A másodközlő netes cikkek saját pluszinformációk nélkül, az origo.hu alapján számoltak be az adatrablásról, esetenként bombasztikus címekkel. Egyenesen „gigantikus adatlopásról” beszélt a nol.hu (a Népszabadság internetes oldala), más honlapok pedig azzal érzékeltették a történtek rendkívüliségét, hogy az önhibájukon kívül veszélybe kerültek számát hangsúlyozták: „50 ezer magyar adatait nyúlta le a webkalóz”.
RENDKÍVÜLI ESEMÉNY, hogy ennyi ember kerül egyszerre információs önrendelkezési vészhelyzetbe azzal, hogy személyes adataihoz hackerek jutnak hozzá. A „webkalózok” ugyanis annyi magyar fontos személyes adatait szerezték meg, mint ahányan egy közepes méretű megyei jogú városban, például Nagykanizsán élnek (49.850 lakos a 2012. évi közigazgatási helynévkönyv alapján). Érzékelte ezt az adatlopást elsőként közlő origo.hu is, mert maga látta el tanácsokkal olvasóit. Hallgatott ugyanis a krízishelyzetbe került PepsiCo magyar érdekeltsége. A hírportál meg is írta, hogy akarta, de a pepsi.hu oldalon „megadott elérhetőségeken nem tudta szombaton délután elérni a Fővárosi Ásványvíz- és Üdítőipari Zrt.-t.”
PEDIG EZ ALKALMAS PILLANAT VOLT, hogy a magyar Pepsi a kezébe vegye az események irányítását, kommunikációját. Ám nem volt senki a vonal végén... Ha viszont van valaki, netán egy jó kríziskommunikátor, akkor proaktív nyilvános fellépéssel el lehetett volna mondani, hogy a cég észlelte a hackertámadást, a rendőrséghez fordult, azonnal intézkedik a meghackelt oldal utólagos védelméről, elnézést és megértést kér azoktól, akik a nyeremény reményében megadták személyes adataikat. Sőt: még tanácsokkal is szolgálhatott volna azoknak, akik ártatlanul bűncselekmény áldozatává váltak. De mindezt elmaradt.
A HALLGATÁSBA BURKOLÓZOTT VÁLLALAT helyett az origo.hu lépett. Egyrészt rámutatott arra, hogy „kiszivárogtak a regisztrációhoz használt jelszavak is, amelyeket nem biztonságos módon, titkosítva tároltak a szerveren”. Másrészt kárenyhítő javaslata is volt: „Minden olyan felhasználónak, aki tudja, hogy regisztrált a Pepsi játékára, és a részvételhez olyan jelszót adott meg, amelyet más szolgáltatáshoz, például levelezőoldalakon vagy közösségi szájtokon is használ, ajánlott azonnal megváltoztatnia jelszavait, hogy fiókjaihoz illetéktelenek ne férhessenek hozzá”. Az origo úgy járt el, mintha maga lett volna a hackertámadás áldozata, egyben a Pepsi jó gazdája: igyekezett segíteni, ha már beütött a krach.
UTÓBB KIDERÜLT, hogy bár a hét végén nem kommunikáltak, ám nem is tétlenkedtek a Fővárosi Ásványvíz- és Üdítőipari Zrt.-nél. A pepsi.hu-t működtető cég hétfőn legalábbis azt közölte az origo-val, hogy az adatrablás napján, azaz még szombaton este elérhetetlenné tette a feltört nyereményjátékos oldalt, és vizsgálatot is indít az eset kapcsán. Ám nem csak a cég lesz az egyetlen, amely górcső alá veszi a történteket, és valószínű, hogy ebben a negatív kommunikáció, az első 72 órát jellemző „No comment!”- hozzáállás is közrejátszott. A Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke ugyanis – szintén hétfőn, igaz, minimális sajtóvisszhangot keltve – bejelentette: megvizsgálja, miként válhatott hackertámadás célpontjává a Fővárosi Ásványvíz- és Üdítőipari Zrt. által működtetett honlap. A nol.hu szerint Péterfalvi Attila arra fókuszál majd, hogy a személyes adatok miért voltak elérhetőek az interneten keresztül, és miért nem titkosították a jelszavakat.
A VIZSGÁLATHOZ ADALÉK, hogy a nyereményjáték részvételi szabályzata szerint a játékos „kifejezetten hozzájárulását adja ahhoz, hogy személyes adatait [név, telefonszám, lakcím, e-mail cím] a Lebonyolítók a nyereményjáték lebonyolítása céljából a személyes adatok védelméről és közérdekű adatok nyilvánosságáról szóló törvényi rendelkezéseknek megfelelően kezelje…”. (Apróság: így, nyelvtani hibával jelent meg a szabályzat.) Ám a lényeg: volt adatkezelési kötelezettségvállalás, az adatvédelmi hatóság elnökének tehát lesz mit megvizsgálnia. És lesz mit közölnie a sajtóval, ami újra nyilatkozati kényszerhelyzetbe hozza a Fővárosi Ásványvíz- és Üdítőipari Zrt.-t.
A MÉDIÁN ÉS AZ ADATVÉDELMI HATÓSÁGON IS MÚLIK, mekkora nyomás lesz a PepsiCo magyar érdekeltségén azért, hogy nyilatkozzon. Ha felteszik az ügyben lényeges, kifejezetten közérdekű kérdéseket, akkor bizonyára ki kell állnia a cégnek. Már csak azért is, mert az origo.hu és az adatvédelmi hatóság is azt állította, hogy a jelszavakat nem biztonságos módon, titkosítva tárolták. Lenne, kellene tehát mit mondania a vállalatnak, és nemcsak az adatkezelésről, noha nem is maga „bonyolította” a promóciót. A történtek okának és következményeinek, a megtett intézkedéseknek az ismertetésén túl fontos és tisztességes kommunikációs gesztus lehetne még a bocsánatkérés, annak ellenére is, hogy a Fővárosi Ásványvíz- és Üdítőipari Zrt. bizonyosan nem ilyen végkifejletet szánt a játéknak. A játékszabályzatból az derül ki, hogy 553 nyereményt osztanak ki, a fődíj pedig egy 4 személyes, 4 éjszakás repülőút New Yorkba, megfejelve 400 ezer forint költőpénzzel. Jó kommunikációs akció, ha az útról a nyertesek videót készítenek, felteszik a YouTube-ra is, tovább népszerűsítve a Pepsi – a játék elindításakor valami ilyesmit gondolhattak, joggal, a cégnél. Ehelyett azonban most keserű a menedzsment és a kommunikációs felelősök szájíze.
Budapest, 2012. október 16.
László Péter
UTÓIRAT Ismeretlen tettesek ellen feljelentést tett a hackertámadás miatt a Fővárosi Ásványvíz- és Üdítőipari Zrt. – tette közzé a cég kedden éjszaka Facebook-oldalán.
