Kísértet járta be a Pannon Egyetem számítógépes rendszerét

1. Tények, rémhírek, félreértések
1. Tények, rémhírek, félreértések 2. Fény, homály és kérdések
Írta: Dajkó Pál
2008-12-10 16:22

Tények, rémhírek, félreértések

Hétfőn számoltunk be egy súlyos biztonsági incidensről, mely a veszprémi Pannon Egyetem Kampuszának informatikai rendszerét érintette. Az információhoz a Jézus Szíve Partizánbrigád (JSZP) nevű blog szerzője, a RaszP néven író Vigh István révén jutottunk el, aki levélben értesítette lapunkat (is) arról, hogy egy, a Google által indexelt, nyilvános könyvtárban hallgatók, illetve a kollégiumba jelentkezők személyes adatai voltak megtalálhatók körülbelül fél éven át, titkosítás nélkül, bárki számára elérhetően.

Az IT café nem kívánt tovább foglalkozni az üggyel, hiszen a hiányosságra fény derült, s – akkor úgy tűnt – egyértelműen meghatározható a felelős is, a többi az egyetemi vezetés és az érintett hallgatók dolga: kivizsgálás, felelősségre vonás, feljelentés stb., amit ilyenkor szokás megtenni.

Ám a történet olyan kacskaringókat írt le az elmúlt két napban, hogy mégis csak reagálnunk kell. Mindezt nem könnyíti meg, hogy – főképp a magyar hírműsoroknak köszönhetően – vadabbnál vadabb, időnként már kínos röhögést kiváltó tudósítások jelentek meg a történtekről (ebben a műfajban a csúcs a TV2 híradója, mely szerint a Jézus Szíve Partizánbrigád mint terrorcselekményt vállalta magára a dolgot…) Ám mindezeket hámozzuk le, s nézzük azokat a tényeket, melyeket ismerünk.

Az egyértelmű, senki sem tagadja, hogy a figyelmeztető levelek elküldéséig – melyek közül többet olyanok küldtek, akiknek semmi közük nem volt a történethez, s nem az érintettek! – a Google cache-ben (a korábbi változatokat tartalmazó adatbázisban: tárolt változat) elérhetőek voltak az adatok. Itt többször felmerült az említett blog írójának, a botrány kirobbantójának, Vigh Istvánnak a felelőssége is. Ezzel kapcsolatban nem szeretnénk határozottan állást foglalni. A hackerek etikája – figyelem! a hacker nem bűnöző, hanem fanatikus biztonságtechnikai szakember! – kimondja, hogy ha megtalálják a biztonsági rést, akkor először értesítik az érintetteket, hogy a sebezhetőséget megszüntessék, s csak akkor és úgy publikálják a hiba leírását, ha már biztos, hogy ebből nem következhet újabb kár. Vigh István többször leírta, hogy akkor tette közzé a bejegyzést, amikor az említett fájl már nem volt elérhető. Igaz, ennek némiképp ellentmond, hogy a cache ebbe nem értendő bele, így az valóban vita tárgya, hogy vajon kötelessége lett volna-e vagy nem, hogy ez a mindenki számára hozzáférhető adatsor is elérhetetlen legyen a publikálás idején.

Hirdetés

A HÖK levele

Ezt a szövegrészt a ma délután megjelenthez képest korrigáltam, miután Birkus Róbert, a Pannon Egyetem Műszaki Informatikai Kar Hallgatói Önkormányzat elnöke arról tájékoztatott, hogy: „Az írásban a PEHÖK által kiküldött reakciónak csupán informatív jellege volt, nem tudom, hogy hogyan következik belőle, hogy a Neptun rendszer jelszavainak születési dátumra való módosítását a PEHÖK javasolta. A válasz: Sehogy, továbbá, ezt nem a PEHÖK javasolta.”

Az első reakció az egyetem hallgatói önkormányzatától érkezett, s azt kell mondanunk, hogy végtelen amatőrizmusról tanúskodik:

„Kedves Hallgatók!

Bizonyára sokan értesültetek már róla, hogy az egyetem Veszprémi Kampusz kollégiumi felvételi rendszerének adatbázisa elérhető volt az interneten, ez által a hallgatók egy részének (2007/2008 tanévre kollégiumba felvételizők) számos személyi adata (név, neptun kód, a kollégiumi felvételi honlapon használt jelszó, személyigazolvány szám, bankszámlaszám, lakcím, anya neve) került ideiglenesen nyilvánosságra.

Az emiatt felmerülő teendőitek a következők:

akik más helyeken is használják a kollégiumi felvételi honlapon használt jelszavukat, módosítsák minél előbb ezt a jelszót (pl. e-mail fiók, iwiw stb.)
a Neptun rendszerben minden érintett hallgató jelszava módosult a születési dátumra (ÉÉÉÉHHNN formátumban), ezt a jelszavat is módosítsátok minél előbb!

Az üggyel kapcsolatban ez idáig a következő fejlemények történtek: Felhívtuk a vezető bankokat az ügy kapcsán, és azt a tájékoztatást kaptuk, hogy ezen adatok birtokában illetéktelen személy nem kezdeményezhet tranzakciókat a bankszámlákon lévő pénzekkel, ugyanis ehhez érvényes személyigazolvány vagy bankkártya és pinkód szükséges.

Az ügyben az egyetem belső vizsgálatot indított, melynek eredményeiről tájékoztatni fogunk Titeket. A belső vizsgálatot lebonyolító bizottság munkájában a Hallgatói Önkormányzat képviselői is részt vesznek. A HÖK kiemelten fontosnak tekinti a kialakult helyzet tisztázását, és a hibát elkövetők felelősségre vonását, ennél fogva a vizsgálat eredményének függvényében mérlegeljük az esetleges további lépéseket. Az üggyel kapcsolatban a rendőrség is vizsgálatot indított az interneten és a hírügynökségi forrásokban megjelent információkra tekintettel.

Üdvözlettel

Pannon Egyetem Hallgatói Önkormányzat”

Ez a levél az egyetem nyilvános levelezőlistáján is megjelent…

Az esetlegesen nyilvánosságra került kollégiumi jelszavak csak akkor voltak felhasználhatóak a Neptun tanulmányi rendszerben, ha azok azonosak voltak mindkét esetben, ám ezzel az intézkedéssel elérték, hogy egy egyszerű (mondjuk iWiW-es) kereséssel az azonosító ismeretében az eddig nem érintett hallgatók nevében is bejelentkezhessen egy rossz szándékú felhasználó… Ennek a „legkevésbé kártékony” felhasználása, amikor hallgatók társaikat lejelentkeztetik kurzusokról vagy vizsgákról, s erre már volt példa két éve a Pannon Egyetemen is.

A rektor felmutatja a Nagy Terroristát

Ezek után jöttek az egyetemi vezetés nyilatkozatai. Kezdjük a rektor által először kiadottal, melynek minden mondata tanulságos.

„A PE vezetése a 2008. december 7-én észlelt – informatikai rendszere ellen irányuló - támadást kivizsgálta és az alábbi megállapításokat tette: A Pannon Egyetem informatikai rendszerét, mint minden nagyobb szervezetét, folyamatos támadások érik.

A közelmúltban hasonló támadás történt a Pannon Egyetem Kollégiumi szervere ellen, amelyen egy ideiglenesen mentett állományban a veszprémi Kampusz hallgatóinak kollégiumi jelentkezéseivel kapcsolatos adatai voltak. A szerveren a behatoló a betörés során biztonsági fájlokat törölt, ezáltal az adatbázis az interneten keresztül hozzáférhetővé vált jogosulatlan személyek számára is. Miután ez kiderült, a rendszergazda azonnal megtette a szükséges védelmi intézkedéseket, haladéktalanul gondoskodott arról, hogy az adatok a továbbiakban ne legyenek elérhetők illetéktelen személyek számára.”

Az állásfoglalás tehát meg sem említ semmilyen személyes vagy intézményi felelősséget, az először itt felmerülő támadás az ok, a Nagy Ismeretlen tehet arról, hogy egy publikus könyvtárba kerültek ki bizalmas adatok.

„Az érintett adatállomány a veszprémi Kampusz elektronikus kollégiumi jelentkezés egy korábbi állapotának ideiglenes mentéséből származik. Az adatbázisban az internetes hírportálok által közölt hallgatói adatoknak csupán töredéke szerepel, de az eset súlyosságát ez nem befolyásolja.”

Információink szerint a fájl létrehozási dátuma június 4., s több mint ötezer rekordot tartalmaz. Mindazonáltal lehetséges, hogy a létrehozás és a mentés dátuma nem azonos, s azt is készséggel elhisszük, hogy „csak” több mint 1700 személy adatait tartalmazza, nem pedig hatezerét.

„Az adatbázisban található felhasználó név és jelszó párosítás más adatbázisokhoz (pl. NEPTUN tanulmányi nyilvántartó rendszer) nem kapcsolódik, az kizárólag csak a kollégiumi jelentkezési rendszerhez használható. Ez a program tanévenként csupán egy hónapon keresztül, a kollégiumi jelentkezés időszakában hozzáférhető a hallgatók számára.”

Valóban nem, ám mivel a felhasználók többsége azonos jelszót használ különböző rendszerekben, ezért a kockázat igen magas.

A cikk még nem ért véget, kérlek, lapozz!

Azóta történt

Egy terabájtnyi bizalmas kormányzati adat tűnt el

A hiányzó merevlemezen a Clinton-kormányzat idején rögzített információk voltak.

Biztonság 2009-05-21 16
Az alkalmazottak közel fele lopott adatokkal érkezik új munkahelyére

A munkavállalók többsége tudja, hogy törvénytelen cégük adatait ellopni, ám sokan ennek ellenére vállalják a kockázatot, ha saját vagy barátjuk sorsáról van szó.

Biztonság 2009-11-24 9

Előzmények

Magyar egyetemisták jelszavai, adatai kerültek ki a netre

Az egyetemisták hozzájárulása nélkül került nyilvánosságra név, lakcím, azonosító, jelszó – mi más is kéne még egy adathalásznak, hogy visszaéljen vele?

Biztonság 2008-12-08 121
Soha ne bízz a rendszergazdában!

A kirúgott admin bosszút állt – így foglalható össze az az egyik olvasónk által elmesélt történet, mely egy magyar középvállalatnál esett meg tavaly.

Tech 2008-11-20 131
Az ügyfélkapus rendszer forráskódját is tartalmazta az elveszített memóriakártya

Egy kocsma parkolójában találták meg a brit ügyfélkapus rendszer jelszavait is tartalmazó memóriakártyát.

Biztonság 2008-11-04 11
Névtelenül hirdetők személyes adatai kerültek ki a netre

Németország rövid időn belül már második nagy adatszivárgási botrányát éli át.

Biztonság 2008-10-19 0

Percről percre

MG4 menetpróba

ma Mindenképpen van fantázia az MG4-ben, az alapfeladatokat olcsón kipipálja, de többet akar nyújtani, mint amire képes.

Az MSI RadiX AXE6600 tesztje – router, játékosoknak

ph Az MSI is bejelentkezett a gamer routerek piacára, fő ajánlatuk egy Wi-Fi 6E kompatibilis modell.

Turbo Kid teszt

gp Nagyszerű videojátékos folytatást kapott az utóbbi évtized egyik legszeretettebb kultfilmje.

Ulefone Note 17 Pro - tolmácsot szeretnék kérni

ma Ívelt AMOLED kijelzővel próbál magasabb szintre lépni az Ulefone Note sorozat, de felhúzza az árcédulát is egy olyan pontra, ahol már szigorúbbak az elvárások.

Hétvégi hardvermozaik

ph Ezúttal multifunkciós készülékek és monitorok állnak a középpontban, de notebook, billentyűzet és néhány komponens is feltűnik.

Aktív témák