Az Európai Űrügynökség (ESA – European Space Agency) 2025. december 30-án közleményben megerősítette, hogy kiberbiztonsági incidens érte a szervezethez kapcsolódó egyes külső szervereket.1 A hivatalos közlés szerint az érintett rendszerek nem tartoztak az ESA belső, vállalati hálózatához, és nem minősített, külső műszaki és tudományos együttműködésekhez kapcsolódtak. Az Űrügynökség minden érintett felet értesített, megkezdte az incidens kivizsgálását és intézkedéseket vezetett be a potenciálisan érintett eszközök védelmére.

Az ESA bejelentését egy 2025. december 26-án, kiberbűnözői fórumon közzétett bejegyzés előzte meg, amelyben „888” felhasználónévvel posztoló közzétevő egy adatcsomagot kínál eladásra, amely állítása szerint az ESA-hoz köthető. Az adatokat áruló kiberbűnöző a posztjában az állítja, hogy az érintett anyagokhoz 2025. december 18-tól kezdődően közel egy héten keresztül fért hozzá és ez idő alatt több mint 200 GB anyagot lopott el.

A felsorolt (állítólagos) kompromittált adattípusok listája kifejezetten érzékeny elemeket is tartalmaz: a forráskódok és SQL-fájlok mellett CI/CD pipeline-okat (automatizált szoftverfejlesztési folyamatokat), API- és hozzáférési tokeneket (digitális kulcsokat), valamint „hardcoded” (kódba égetett) hitelesítési adatokat említ a közzétevő.

Ezeknek az állításoknak a hitelessége ugyanakkor ez idáig nem nyert hivatalos megerősítést. Az ESA nem erősítette meg sem az adatok jellegét, sem pedig azok mennyiségét.

A jogosulatlan hozzáférés ténye tehát elismert, az incidens konkrét kiterjedése viszont (egyelőre?) nyitott kérdés maradt.

Háttér: Az ESA működési modellje és a kitettség okai

Az Európai Űrügynökség (ESA) Európa kapuja a világűr felé: egy több mint húsz tagállamot tömörítő szervezet, amely kutatási, fejlesztési és ipari projekteket koordinál a kontinensen. Ebből a struktúrából adódóan a szervezet működése nem korlátozódhat zárt, elszigetelt belső rendszerekre.

A napi operatív munka jelentős része nemzetközi partnerekkel – egyetemekkel, kutatóintézetekkel és ipari beszállítókkal – közösen használt technikai környezetekben zajlik. Ez a modell szükségszerűvé teszi a külső infrastruktúrák, például együttműködési szerverek és közös fejlesztési platformok használatát. Ezek a rendszerek, bár formálisan a szigorúan védett vállalati hálózaton kívül helyezkednek el, a projektek megvalósításának szerves részei. Ez a nyitott, együttműködésre épülő struktúra pedig összetett biztonsági kihívásokat teremt.

Adatmennyiség vagy hozzáférés? – Versenyfutás az idővel

Kiberbiztonsági szempontból a közzétevő által emlegetett 200 GB-os adatmennyiség önmagában kevés információt hordoz, hiszen fejlesztési környezetekben a technikai naplófájlok és tesztadatok gyorsan generálnak ekkora méretet. A valódi kockázatot a „888” nevű felhasználó által említett API-tokenek és kódba égetett jelszavak jelentenék, amelyek elméletileg lehetőséget adhatnának a támadóknak, hogy belső felhasználónak álcázva magukat más rendszerekhez férjenek hozzá.

Ugyanakkor fontos látni az összefüggést az ESA válaszlépéseivel: az ügynökség közölte, hogy már bevezetett védelmi intézkedéseket az érintett eszközök biztonságának garantálása érdekében. Ez a gyakorlatban remélhetőleg a kompromittálódott kulcsok azonnali visszavonását és a hozzáférések korlátozását jelentette. A folyamatban lévő forenzikus vizsgálat éppen azt (is) hivatott tisztázni, hogy a támadók által emlegetett érzékeny adatokkal sikerült-e visszaélni, mielőtt az ESA biztonsági csapata lezárta volna a biztonsági réseket.

A „külső szerver” mint stratégiai belépési pont

Bár az ESA hangsúlyozza, hogy a belső hálózat érintetlen maradt, a kiberfenyegetettségi trendek azt mutatják, hogy a külső projektkörnyezetek ma már elsődleges célpontok. Mivel ezek a rendszerek támogatják a közös mérnöki munkát (collaborative engineering), gyakran hidat képeznek a különböző partnerszervezetek között.

Ez magyarázza, miért tartotta az ESA prioritásnak az összes érintett fél (stakeholders) azonnali kiértesítését.

Egy ilyen incidens során ugyanis nemcsak az ügynökség adatai, hanem a partnerek hozzáférései is kockázatot jelenthetnek az úgynevezett oldalirányú mozgás (lateral movement) révén.

Még egy sikeresen védett központi hálózat mellett is veszélyt jelenthet, ha a támadók a perifériáról szerzett információkat későbbi, célzottabb támadások előkészítésére használják fel.

Magyar vonatkozás: A beszállítói lánc védelme

Magyarország ESA-tagállamként aktív részese az ügynökség ökoszisztémájának. Hazai kutatóintézetek, egyetemek és űripari vállalkozások dolgoznak közös projekteken, gyakran éppen a most érintetthez hasonló külső infrastruktúrákat használva.

Bár nincs információ magyar szervezetek közvetlen érintettségéről, az incidens rávilágít, hogy a kibervédelem a nemzetközi projektekben közös felelősség. Egy kisebb partner biztonsági hiányosságai vagy egy közös platform sérülékenysége releváns kockázattá válhat a teljes láncban.

Összegzés

Az ESA jelenlegi adatvédelmi incidense – az elmúlt évek számos hasonló esetével együtt – arra világít rá, hogy a digitális működés leginkább kitett pontjai gyakran nem a központi rendszerek, hanem azok az infrastruktúrák, amelyek a fejlesztést és az együttműködést szolgálják. Ezek a környezetek sokszor nagyobb kockázatot hordoznak, mint azt elsőre gondolnánk.

A fejlesztési és együttműködési infrastruktúra ma már nem másodlagos támadási felület, hanem a biztonsági gondolkodás egyik központi eleme kell, hogy legyen.