2019. április 22., hétfő

Gyorskeresés

Kísértet járta be a Pannon Egyetem számítógépes rendszerét

A veszprémi egyetem vezetése szerint az Ismeretlen Cracker a hibás abban, hogy a kollégiumi rendszerből hallgatók érzékeny adatai hónapokon keresztül elérhetőek voltak a neten.

Tények, rémhírek, félreértések

Hétfőn számoltunk be egy súlyos biztonsági incidensről, mely a veszprémi Pannon Egyetem Kampuszának informatikai rendszerét érintette. Az információhoz a Jézus Szíve Partizánbrigád (JSZP) nevű blog szerzője, a RaszP néven író Vigh István révén jutottunk el, aki levélben értesítette lapunkat (is) arról, hogy egy, a Google által indexelt, nyilvános könyvtárban hallgatók, illetve a kollégiumba jelentkezők személyes adatai voltak megtalálhatók körülbelül fél éven át, titkosítás nélkül, bárki számára elérhetően.

Az IT café nem kívánt tovább foglalkozni az üggyel, hiszen a hiányosságra fény derült, s – akkor úgy tűnt – egyértelműen meghatározható a felelős is, a többi az egyetemi vezetés és az érintett hallgatók dolga: kivizsgálás, felelősségre vonás, feljelentés stb., amit ilyenkor szokás megtenni.

Ám a történet olyan kacskaringókat írt le az elmúlt két napban, hogy mégis csak reagálnunk kell. Mindezt nem könnyíti meg, hogy – főképp a magyar hírműsoroknak köszönhetően – vadabbnál vadabb, időnként már kínos röhögést kiváltó tudósítások jelentek meg a történtekről (ebben a műfajban a csúcs a TV2 híradója, mely szerint a Jézus Szíve Partizánbrigád mint terrorcselekményt vállalta magára a dolgot…) Ám mindezeket hámozzuk le, s nézzük azokat a tényeket, melyeket ismerünk.

Az egyértelmű, senki sem tagadja, hogy a figyelmeztető levelek elküldéséig – melyek közül többet olyanok küldtek, akiknek semmi közük nem volt a történethez, s nem az érintettek! – a Google cache-ben (a korábbi változatokat tartalmazó adatbázisban: tárolt változat) elérhetőek voltak az adatok. Itt többször felmerült az említett blog írójának, a botrány kirobbantójának, Vigh Istvánnak a felelőssége is. Ezzel kapcsolatban nem szeretnénk határozottan állást foglalni. A hackerek etikája – figyelem! a hacker nem bűnöző, hanem fanatikus biztonságtechnikai szakember! – kimondja, hogy ha megtalálják a biztonsági rést, akkor először értesítik az érintetteket, hogy a sebezhetőséget megszüntessék, s csak akkor és úgy publikálják a hiba leírását, ha már biztos, hogy ebből nem következhet újabb kár. Vigh István többször leírta, hogy akkor tette közzé a bejegyzést, amikor az említett fájl már nem volt elérhető. Igaz, ennek némiképp ellentmond, hogy a cache ebbe nem értendő bele, így az valóban vita tárgya, hogy vajon kötelessége lett volna-e vagy nem, hogy ez a mindenki számára hozzáférhető adatsor is elérhetetlen legyen a publikálás idején.

Hirdetés

A HÖK levele

Ezt a szövegrészt a ma délután megjelenthez képest korrigáltam, miután Birkus Róbert, a Pannon Egyetem Műszaki Informatikai Kar Hallgatói Önkormányzat elnöke arról tájékoztatott, hogy: „Az írásban a PEHÖK által kiküldött reakciónak csupán informatív jellege volt, nem tudom, hogy hogyan következik belőle, hogy a Neptun rendszer jelszavainak születési dátumra való módosítását a PEHÖK javasolta. A válasz: Sehogy, továbbá, ezt nem a PEHÖK javasolta.”

Az első reakció az egyetem hallgatói önkormányzatától érkezett, s azt kell mondanunk, hogy végtelen amatőrizmusról tanúskodik:

„Kedves Hallgatók!

Bizonyára sokan értesültetek már róla, hogy az egyetem Veszprémi Kampusz kollégiumi felvételi rendszerének adatbázisa elérhető volt az interneten, ez által a hallgatók egy részének (2007/2008 tanévre kollégiumba felvételizők) számos személyi adata (név, neptun kód, a kollégiumi felvételi honlapon használt jelszó, személyigazolvány szám, bankszámlaszám, lakcím, anya neve) került ideiglenesen nyilvánosságra.

Az emiatt felmerülő teendőitek a következők:

  • akik más helyeken is használják a kollégiumi felvételi honlapon használt jelszavukat, módosítsák minél előbb ezt a jelszót (pl. e-mail fiók, iwiw stb.)

  • a Neptun rendszerben minden érintett hallgató jelszava módosult a születési dátumra (ÉÉÉÉHHNN formátumban), ezt a jelszavat is módosítsátok minél előbb!

Az üggyel kapcsolatban ez idáig a következő fejlemények történtek: Felhívtuk a vezető bankokat az ügy kapcsán, és azt a tájékoztatást kaptuk, hogy ezen adatok birtokában illetéktelen személy nem kezdeményezhet tranzakciókat a bankszámlákon lévő pénzekkel, ugyanis ehhez érvényes személyigazolvány vagy bankkártya és pinkód szükséges.

Az ügyben az egyetem belső vizsgálatot indított, melynek eredményeiről tájékoztatni fogunk Titeket. A belső vizsgálatot lebonyolító bizottság munkájában a Hallgatói Önkormányzat képviselői is részt vesznek. A HÖK kiemelten fontosnak tekinti a kialakult helyzet tisztázását, és a hibát elkövetők felelősségre vonását, ennél fogva a vizsgálat eredményének függvényében mérlegeljük az esetleges további lépéseket. Az üggyel kapcsolatban a rendőrség is vizsgálatot indított az interneten és a hírügynökségi forrásokban megjelent információkra tekintettel.

Üdvözlettel

Pannon Egyetem Hallgatói Önkormányzat”

Ez a levél az egyetem nyilvános levelezőlistáján is megjelent…

Az esetlegesen nyilvánosságra került kollégiumi jelszavak csak akkor voltak felhasználhatóak a Neptun tanulmányi rendszerben, ha azok azonosak voltak mindkét esetben, ám ezzel az intézkedéssel elérték, hogy egy egyszerű (mondjuk iWiW-es) kereséssel az azonosító ismeretében az eddig nem érintett hallgatók nevében is bejelentkezhessen egy rossz szándékú felhasználó… Ennek a „legkevésbé kártékony” felhasználása, amikor hallgatók társaikat lejelentkeztetik kurzusokról vagy vizsgákról, s erre már volt példa két éve a Pannon Egyetemen is.

A rektor felmutatja a Nagy Terroristát

Ezek után jöttek az egyetemi vezetés nyilatkozatai. Kezdjük a rektor által először kiadottal, melynek minden mondata tanulságos.

„A PE vezetése a 2008. december 7-én észlelt – informatikai rendszere ellen irányuló - támadást kivizsgálta és az alábbi megállapításokat tette: A Pannon Egyetem informatikai rendszerét, mint minden nagyobb szervezetét, folyamatos támadások érik.

A közelmúltban hasonló támadás történt a Pannon Egyetem Kollégiumi szervere ellen, amelyen egy ideiglenesen mentett állományban a veszprémi Kampusz hallgatóinak kollégiumi jelentkezéseivel kapcsolatos adatai voltak. A szerveren a behatoló a betörés során biztonsági fájlokat törölt, ezáltal az adatbázis az interneten keresztül hozzáférhetővé vált jogosulatlan személyek számára is. Miután ez kiderült, a rendszergazda azonnal megtette a szükséges védelmi intézkedéseket, haladéktalanul gondoskodott arról, hogy az adatok a továbbiakban ne legyenek elérhetők illetéktelen személyek számára.”

Az állásfoglalás tehát meg sem említ semmilyen személyes vagy intézményi felelősséget, az először itt felmerülő támadás az ok, a Nagy Ismeretlen tehet arról, hogy egy publikus könyvtárba kerültek ki bizalmas adatok.

„Az érintett adatállomány a veszprémi Kampusz elektronikus kollégiumi jelentkezés egy korábbi állapotának ideiglenes mentéséből származik. Az adatbázisban az internetes hírportálok által közölt hallgatói adatoknak csupán töredéke szerepel, de az eset súlyosságát ez nem befolyásolja.”

Információink szerint a fájl létrehozási dátuma június 4., s több mint ötezer rekordot tartalmaz. Mindazonáltal lehetséges, hogy a létrehozás és a mentés dátuma nem azonos, s azt is készséggel elhisszük, hogy „csak” több mint 1700 személy adatait tartalmazza, nem pedig hatezerét.

„Az adatbázisban található felhasználó név és jelszó párosítás más adatbázisokhoz (pl. NEPTUN tanulmányi nyilvántartó rendszer) nem kapcsolódik, az kizárólag csak a kollégiumi jelentkezési rendszerhez használható. Ez a program tanévenként csupán egy hónapon keresztül, a kollégiumi jelentkezés időszakában hozzáférhető a hallgatók számára.”

Valóban nem, ám mivel a felhasználók többsége azonos jelszót használ különböző rendszerekben, ezért a kockázat igen magas.

A cikk még nem ért véget, kérlek, lapozz!

Előzmények

Copyright © 2000-2019 PROHARDVER Informatikai Kft.