Tegnap késő este kaptunk egy levelet a JSZP blog tulajdonosától, melyből kiderült, hogy a veszprémi egyetem egyik rendszergazdája egy, a weben mindenki számára elérhető, publikus könyvtárba töltötte fel az egyetem kollégiumába jelentkezők adatbázisában szereplők személyes adatait, ami azt jelenti, hogy körülbelül 6000 ember nevét, telefonszámát, lakcímét, e-mail címét, személyigazolvány-számát, a Neptun tanulmányi rendszerhez tartozó azonosítókat, a kollégiumi rendszerhez tartozó jelszavakat stb. bárki elérhetett. Vagyis kész profilok nyilvánosak, melyek ismeretében számtalan visszaélési lehetőségre nyílik mód.
A sűrűn frissített blogot elolvasva kiderült, hogy nem magát a Neptun rendszert törték fel, vagyis nem innen szivárgott ki ez a hatalmas mennyiségű információ, hanem feltehetően egy hibás döntés következtében a kollégiumi rendszer egyik felelős informatikusa vétett szarvashibát: bizalmas adatokat egy nyilvános, az internetről könnyedén elérhető helyre mentett el, s mindezeket az állományokat titkosítás nélkül tette közzé. Ezekre az adatokra nem könnyű rábukkanni, ám a potenciális veszély ettől még fennáll, ugyanis a nyilvános hozzáférés miatt a Google keresőmotorja indexeli az oldalt, tehát bizonyos kereséseknél megjelenik találatként. S ekkor egy nem igazán jóindulatú felhasználó rájöhet arra, hogy olyan bizalmas adatok birtokába jutott, melyekkel számtalan bűncselekményt lehet elkövetni.
Ma reggel az érintett felelős vezetőt, Haraszti Lászlót, a Pannon Egyetem kollégiumi referensét is megkerestük, ám ő mereven elzárkózott a nyilatkozattétel elől, még azt sem volt hajlandó megerősíteni, hogy vajon folyik-e vizsgálat az ügyben (igaz, a következő mondatban azt állította, azért nem beszélhet, mert az befolyásolná a vizsgálatot), mindössze annyit mondott, hogy a későbbiekben hivatalos közleményt adnak ki a történtekről.
Ezek után az említett blog szerzőjét is megkerestük, aki rendelkezésünkre bocsátotta az általa lementett állományt, melyből világosan kiderül, hogy valóban: a fentebb említett érzékeny személyes adatok (kódolás nélküli változatban) minden különösebb erőfeszítés nélkül több hónapig letölthetőek voltak az interneten keresztül. Habár az általunk megismert fájl minden kétséget kizáróan bizonyította a – legalábbis – rendszergazdai hanyagság tényét, megkérdeztük az ügyről házi biztonságtechnikai szakértőnket, Krasznay Csabát, aki a következőképpen foglalta össze álláspontját:
„A tudomásunkra jutott esemény az információbiztonsági hiányosságok tökéletes iskolapéldája, mondhatni állatorvosi lova.
1. esemény: az adminisztrátor készít egy adatbázismentést, amit utána feltölt egy publikusan elérhető könyvtárba, amit a Google elér. Nem egyedi, próbálkozzunk csak meg a „phpMyAdmin SQL Dump” inurl:sql site:hu Google kulcsszóval. Ez az információszerzés legegyszerűbb módja, semmit nem kell hackelni.
2. esemény: az adatbázisban nem kódolják a jelszavakat. Gyakori programozói trehányság, hogy nem az MD5 hash-t, hanem a kódolatlan szavakat helyezik el az adatbázisban. Ez olyannyira tipikus, hogy vegyük tudomásul: ha egy jelszót beírunk a portálra, akkor azt mindenkinek a tudomására hoztuk. Ebben akkor lehetünk igazán biztosak, ha a regisztráció után a szolgáltató e-mailben visszaküldi a jelszavunkat…
3. esemény: elgondolkodtató a személyes adatok kezelésének a módja. Vajon hozzájárultak-e az érintettek ahhoz, hogy a kollégiumi rendszerbe átvigyék a Neptunban jogosan tárolt adataikat? Az adatkezelési szabályzat hiányában erről véleményt nem tudok mondani, de megérne egy vizsgálatot. Összességében mindez egy remek példa arra, hogy mi történik nap mint nap az általunk kiszolgáltatott információkkal. A napokban került nyilvánosságra, hogy 21 millió német állampolgár adatát lehet megvásárolni. Vajon hány magyar állampolgár lehet érintett hasonló ügyben?”
Várjuk az intézmény hivatalos közleményét, s erről természetesen beszámolunk.
