2025 október 6-án robbant ki egy újabb adatvédelmi botrány a magyar ellenzéki Tisza Párt körül, miután kiderült, hogy a párt Tisza Világ nevű mobilalkalmazásából közel 20 ezer felhasználó személyes adatai kerültek nyilvánosságra. Az incidens nem csupán a felhasználók magánszféráját veszélyezteti, hanem kérdéseket vet fel a párt adatkezelési gyakorlatával és külföldi partnereivel kapcsolatban is. A kiszivárgott adatok között szerepelnek nevek, anyanevek, lakcímek, e-mail-címek, telefonszámok, valamint az érintettek lokációi és egyéni választókerületei. Nem minden felhasználóról áll rendelkezésre minden információ, ami arra utal, hogy a szivárgás mértéke függhetett a regisztrációkor megadott adatok mennyiségétől is.

A szivárgás egy olvasói jelzés nyomán derült ki, aki a Reddit platformon bukkant egy linkre, amely az anonpaste.com oldalon tárolt adatbázishoz vezetett. Bár a Reddit gyorsan törölte a bejegyzést, az adatok továbbra is elérhetők maradtak az említett oldalon. A feltöltés október 1-jén történt, és az alkalmazás “beépített publikus funkcióin” keresztül sikerült kinyerni az információkat, ami arra enged következtetni, hogy az applikáció biztonsági rései lehetővé tették az adatokhoz való illetéktelen hozzáférést.

Különösen aggasztó elem az ügyben egy ukrán informatikai cég, a PettersonApps lehetséges részvétele az alkalmazás fejlesztésében. Az applikáció adminisztrátorai között feltűnik Myroslav Tokar, egy ungvári webfejlesztő, aki a PettersonApps munkatársa. A cég, amely több mint 100 főt foglalkoztat, mobilalkalmazások fejlesztésével foglalkozik, ám weboldala szokatlanul keveset árul el vezetőségéről és korábbi projektjeiről. A vállalat vezérigazgatója, Oleh Ostroverkh, aki Volodimir Zelenszkij támogatója, egyben a Defence Robotics UA nevű civil szervezet felügyelőbizottságának tagja. Ez a szervezet szoros együttműködést folytat az ukrán hadsereg “Da Vinci Wolves” zászlóaljával földi drónok fejlesztése, alkalmazása és harcászati tesztelése terén. Felmerül a kérdés, hogy miért választott a Tisza Párt külföldi, kifejezetten ukrán fejlesztőket magyar szakemberek helyett, és vajon kerülhettek-e a magyar felhasználók adatai Ukrajnába.

Az adminisztrátorok adatai is kiszivárogtak, köztük Radnai Márk, a Tisza Párt alelnökének telefonszáma és e-mail-címe. Radnai koordinálta az alkalmazás fejlesztését, és szeptemberben mutatta be azt a nyilvánosságnak. Érdekesség, hogy az alkalmazásban a Tisza Párt központi címeként – feltehetően tréfásan – a Fidesz székháza melletti Lendvay utca 27-et állította be.

Ez nem az első adatvédelmi incidens a Tisza Párt háza táján. Júniusban több száz aktivista személyes adata szivárgott ki a párt Discord-szerveréről, ami miatt a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálatot indított. Az érintettek közül többen állították, hogy az adatok önkéntes szerződéseikből származhattak, és egyes információk nem is szerepeltek a szerződésekben. Magyar Péter, a párt elnöke akkor lejárató akcióként értékelte az esetet, a Fideszt és “orosz módszereket” emlegetve.

A mostani szivárgásra reagálva a Tisza Párt sajtóosztálya nem adott érdemi választ a feltett kérdésekre, ehelyett politikai támadást intézett a kormány és a média ellen. Magyar Péter Facebook-bejegyzésében az Indexet “aljas hazugságokkal” vádolta, utalva arra, hogy korábban amerikai, most pedig ukrán fejlesztőkről szóló cikkek jelentek meg. Felkérte a Magyar Újságírók Országos Szövetségét, hogy lépjen fel a “dezinformációs kampány” ellen, és kijelentette: “Egyértelműnek tűnik, hogy az orosz szolgálatok megkezdték a közvetlen beavatkozást a magyar választási kampányba.”

Az ügy további vizsgálatot igényelhet a NAIH részéről, és rávilágít a politikai szervezetek adatkezelésének gyengeségeire egy olyan időszakban, amikor a digitális biztonság egyre kritikusabbá válik.

Végezetül intő jelként hangsúlyozzuk: az adataink védelme ma különösen fontos az egyre gyakoribb adatlopások ellen, valamint az OSINT (nyílt forrású hírszerzés) műveletek kivédésére. Felhasználóként mindig ellenőrizzük az alkalmazások adatkezelési szabályait, használjunk erős jelszavakat, kétfaktoros hitelesítést, és kerüljük a felesleges személyes adatok megosztását, hogy minimalizáljuk a kockázatokat.