2. Cikkek
  3. Biztonság
  4. Café blog

Kísértet járta be a Pannon Egyetem számítógépes rendszerét

Fény, homály és kérdések

Ezt a hivatalos állásfoglalást már egy korrektebb és szakszerűbb nyilatkozat követte, melyben az egyetem kommunikációs és informatikai igazgatója, Orosz György válaszolt az origo.hu levélben feltett kérdéseire. Ő végre tényszerűen elismerte, hogy „a hallgatók neve, Neptun kódja (ez a kód azonosítja a hallgatót az egyetem online tanulmányi rendszerében), e-mail címe, a kollégiumi nyilvántartó rendszerben használt jelszava, személyi igazolványának száma, anyja neve, lakcíme, bankszámlaszáma volt a kikerült adatbázisban”. Ám a külső beavatkozás teóriájához továbbra is ragaszkodik: „A közlemény szerint a támadó biztonsági fájlokat törölt a szerveren, így válhatott hozzáférhetővé az állomány. A tegnap kiadott közleményben csak az szerepelt, hogy a támadásra a »közelmúltban« került sor, Orosz György számunkra e-mailben adott válaszából azonban kiderül, hogy 2008. szeptember 20-án történt.” Ennek következtében elindult egy belső vizsgálat az egyetemen, mely még most is folyik, illetve a rendőrség saját hatáskörben indított eljárást, mivel az egyetemi vezetés a belső vizsgálat eredményétől teszi függővé, hogy tesznek-e feljelentést.

Hirdetés

Természetesen az IT café kíváncsi lett volna további részletekre is, ám Orosz György helyett csak munkatársával sikerült beszélnünk, aki viszont nem tudott érdemi válaszokat adni kérdéseinkre. Ugyanakkor megígérte, hogy Orosz György visszahív bennünket. Ez a cikk megírásának időpontjáig nem történt meg.

S hogy mit kérdeztünk volna? Úgy véljük, több sebből vérzik a történet, melyről eleinte úgy tűnt, hogy egyszerű hanyagságból adódóan indult el.

Meg szerettük volna kérdezni:

  • Hogy van az, hogy az egyetem vezetése megnyugtatónak szánt közleményében egy igen gyakori rendszergazdai hibát, mely súlyos ugyan, de mondhatni „benne van a pakliban”, egy sokkal komolyabb biztonságtechnikai hiba elismerésével cserél fel?

  • Vajon mi célból hatolt be az állítólagos támadó az egyetemi rendszerbe, s mindezt milyen módon tette? Elmentette az adatokat, de aztán „rosszcsontságból” még el is helyezte őket egy publikus könyvtárban?

  • Ha igaz a szeptemberi támadás, akkor ez decemberig vajon miért nem tűnt fel senkinek?

  • Ki folytatja a vizsgálatot? Egy ilyen esetben az objektivitás és a hitelesség érdekében nem kellene-e külsős céget megbízni ezzel?

  • (Krasznay Csaba nyomán) Vajon a hallgatók hozzájárulását kikérték-e arról, hogy a Neptunban szereplő adataik átkerülhessenek egy másik rendszerbe is?

  • Az egyetem miért hezitál a feljelentéssel? Az adatvédelmi törvény megsértése mindenképpen bizonyítottnak látszik, tehát kötelességük eljárást indítani.

Amikor Vigh István blogjában az (állítólag) felelős rendszergazda nickje alatt az alábbi bejegyzést olvastam: „Elkurtam. Nem kicsit, nagyon!”, akkor még megnyugodtam, hogy hát igen, hibázott, de legalább szégyelli magát.

Most már nem gondolom így.

2. Fény, homály és kérdések
1. Tények, rémhírek, félreértések 2. Fény, homály és kérdések

Azóta történt

Előzmények