A lapunk által is figyelemmel kísért, feltehetően felelőtlenségből eredő veszprémi adatszivárgás eltörpülhet ahhoz az ügyhöz képest, melyről az IT café – több hazai médiával együtt – ma délután egy elektronikus levélből értesült.

A következő, kevés részlettel szolgáló levél érkezett szerkesztőségünkhöz:

„Üdvözletem. Csatolva a Pannon Egyetem neptunkódjainak és jelszavainak egy része, diákoké, tanároké(!).

Gondolom van nemi hírértéke a dolognak a tavaly év végi adatkikerülési ügy kapcsán.

Szeretnem leszögezni, hogy a csatolt adatokat jelen levél címzettjein kívül nem osztottam meg senkivel, az adatok birtoklásából nem származott anyagi előnyöm, a szerveren semmilyen módosítást nem hajtottam végre, valamint jelen levél elküldése után az adatokat töröltem a számítógépemről.

Tájékoztatásul közlöm, hogy a levél fejlécében található e-mail cím tulajdonosának semmi köze ehhez a levélhez (gyk. nem ő a feladó), így ne válaszoljanak, mert nem jut el hozzam.

Szép napot.”

A levél mellékleteként két táblázatot kaptunk, melyek közül az egyik a Pannon Egyetem körülbelül négyszáz hallgatójának, a másik 27 tanárjának a Neptun-rendszerben használt azonosítóját, jelszavát, e-mail címét, valamint valódi nevét tartalmazza – legalábbis a levél írója szerint. Az adatok valódiságát a hír írásának idejéig nem tudtuk ellenőrizni, de amint biztos információhoz jutunk, arról is beszámolunk.

Ez az egyik legsúlyosabb fajtája a biztonsági incidenseknek, hiszen a tanári jelszavak tanulmányi adatok módosítására adnak lehetőséget, s a hallgatói adatok is komoly visszaéléseket tesznek lehetővé.

A levél érkezése után felvettük a kapcsolatot a Pannon Egyetemmel, tájékoztattuk az informatikai vezetőt és a rektort a történtekről. Igyekeztünk megkeresni a fejlesztőt, az SDA Stúdió Kft.-t is, de náluk már addigra senki nem vette fel a telefont. A betörés tényét egyelőre senki nem erősítette meg, de nem is cáfolta.

Tájékoztatásul közöljük, hogy e hír megírása után az adatokat töröltük a számítógépeinkről.

Frissítés1: Az SDA Stúdió Kft. időközben tájékoztatott bennünket, hogy a Neptun rendszerből jelszavak nem kerülhettek ki, mivel a rendszer nem tárol jelszavakat. Pontosabb információk hamarosan a cég közleményéből derülnek majd ki, melyet rövidesen közzéteszünk.

Frissítés2: Az eddigi visszajelzésekből úgy tűnik, hogy a levélben szereplő kódok, jelszavak már régiek, néhány évvel ezelőttiek, ám akad köztük adminisztrátori jelszó is, mely ha működik, további adatokhoz vezethet el. Továbbra is várjuk a hivatalos közleményt.

Frissítés3: A Neptun fejlesztője, az SDA Stúdió Kft. a következő nyilatkozatot juttatta el szerkesztőségünkbe:

„Engedjék meg, hogy az ismeretlen személy által Önöknek is elküldött és általam is mellékelt e-mailra az SDA Stúdió Kft. (Neptun tanulmányi rendszer fejlesztője) nevében röviden reagáljak.

Az ismeretlen által megküldött fájlban szereplő adatok nem származhatnak a Neptun.Net 3R tanulmányi rendszerből, mivel a rendszer fizikailag nem tárolja a felhasználók jelszavait.

A Neptun.Net tanulmányi rendszer egy piacvezető korszerű háromrétegű alkalmazás, amely a felhasználók jelszavait nem, csak a jelszavak hash-ét tárolja, azt is még ezen kívül is továbbkódolt formában. Ez azt jelenti, hogy a rendszer a jelszó megadásakor egy egyirányú matematikai algoritmussal lenyomatot készít a felhasználó által begépelt jelszóról és csak ezt a kódot (hash) tárolja, illetve hasonlítja össze az adatbázisban szereplő korábbi lenyomattal. A további kódolás eredményeként ez a lenyomat akkor is különbözik a különböző felhasználóknál, ha esetleg egyforma jelszót használnak. Ennek következtében a Neptun rendszerből a felhasználói jelszavakat nem lehet visszanyerni, így azokkal ilyen módon visszaélni sem lehet.

Nagyon sajnáljuk, hogy időről időre – feltehetően üzleti okokból – ismeretlenek hamisan azt állítják, hogy hozzájutottak a Neptun rendszerből származó jelszavakhoz, de ez a fenti okok miatt fizikailag sem lehetséges.”

Még mindig nem tudni, hogy a levél küldője hogyan jutott az adatokhoz, elképzelhető, hogy hasonló eset történt, mint tavaly, amikor feltehetően (a vizsgálat még nem zárult le) a kollégiumi rendszer hiányosságai, illetve személyes felelőtlenség vezetett adatszivárgáshoz. Az eddigi jelekből úgy tűnik, senkinek nincsenek az adatai közvetlen veszélyben, s még az is bizonytalan, hogy nem manipulált adatsorral állunk-e szemben.

Frissítés4: Nemrég megkaptuk a Pannon Egyetem informatikai vezetőjének hivatalos közleményét is. Ezek szerint:

„A 2009. február 23-i értesítésüket követően haladéktalanul megkezdtük az ügy kivizsgálását, a szükséges biztonsági intézkedéseket megtettük.

A vizsgálat folyamán rövid időn belül megállapítottuk, hogy az adatok nem a NEPTUN tanulmányi rendszerből kerültek ki. Az eddig elvégzett vizsgálatok alapján valószínűsíthető, hogy a kikerült adatok az egyik karunk által üzemeltetett technikai jellegű rendszer felhasználói adatai, többek között az adott rendszerhez hozzáférést biztosító jelszó. A hivatkozott szerver hálózati elérését megszüntettük, az érintett hallgatók és oktatók értesítése folyamatban van, miszerint a NEPTUN rendszer továbbra is biztonságosan működik, abba a felhasználók nevében illetéktelen személyek nem tudnak belépni.

Az adatok kikerülésének körülményeit külső szakértő bevonásával jelenleg is vizsgáljuk, a fejleményekről a későbbiekben tájékoztatjuk.”