Hacker járta be a Pannon Egyetem informatikai rendszerét

Írta: Dajkó Pál
Forrás: IT café
2009-02-27 15:30

A napokban egy újabb adatbiztonsági incidensre derült fény, mely újra a Pannon Egyetemet érinti, s bár teljes pontossággal még nem lehet megállapítani, hogy mi is történt, most igyekszünk összefoglalni az eddigi tényeket.

Az Ismeretlen Hacker jelentkezik

Február 23-án egy ismeretlen (a továbbiakban: hacker) körlevelet küldött a magyar sajtó jó néhány szereplőjének, így az IT café-nak is, mely a következőképpen kezdődött: „Üdvözletem. Csatolva a Pannon Egyetem neptunkódjainak és jelszavainak egy része, diákoké, tanároké(!)”. A levél mellékletében két táblázat szerepelt: az egyikben 27 tanár, a másikban 500 hallgató adatai szerepeltek. A tanári táblázat volt a teljesebb, itt a Neptun-kód (azonosító) mellett szerepelt többek között egy jelszó, az e-mail cím és a teljes név. A hallgatói táblázatban a Neptun-kód mellett többek között (körülbelül az esetek felében, harmadában) szerepelt egy jelszó, mindenkinél a születési dátum és az e-mail cím.

Miközben igyekeztünk utánajárni, hogy a megkapott adatok valósak-e, azonnal értesítettük a Pannon Egyetem illetékeseit a lehetséges veszélyről. A visszajelzésekből kiderült, hogy valódi információkról van szó, ám a táblázatokban szereplő adatok egy régebbi adatbázisból származhatnak, mivel az érintettek évekkel korábban használták a megadott jelszavakat.

Az IT café hírére reagálva a Neptun fejlesztője, az SDA Stúdió Kft. jelezte, hogy magából a Neptunból semmiképp nem kerülhettek ki a jelszavak, mivel a rendszer nem tárol jelszavakat: „Az ismeretlen által megküldött fájlban szereplő adatok nem származhatnak a Neptun.Net 3R tanulmányi rendszerből, mivel a rendszer fizikailag nem tárolja a felhasználók jelszavait.” A részletekről érdeklődve többször is beszélgettünk az SDA Stúdió egyik fejlesztőjével, s ő a rendszer működését felvázolva meggyőző magyarázatot nyújtott a fenti állítás alátámasztására.

A Pannon Egyetem lépései

Ez idő alatt a Pannon Egyetem vezetői sem tétlenkedtek, s a hétfő esti telefonhívás, majd az általunk továbbított e-mail után haladéktalanul intézkedtek, s elindították a vizsgálatot, hogy történt-e incidens, s ha igen, milyen jellegű.

Február 24-én, kedden meg is kaptuk hivatalos közleményüket:

„A vizsgálat folyamán rövid időn belül megállapítottuk, hogy az adatok nem a NEPTUN tanulmányi rendszerből kerültek ki. Az eddig elvégzett vizsgálatok alapján valószínűsíthető, hogy a kikerült adatok az egyik karunk által üzemeltetett technikai jellegű rendszer felhasználói adatai, többek között az adott rendszerhez hozzáférést biztosító jelszó. A hivatkozott szerver hálózati elérését megszüntettük, az érintett hallgatók és oktatók értesítése folyamatban van, miszerint a NEPTUN rendszer továbbra is biztonságosan működik, abba a felhasználók nevében illetéktelen személyek nem tudnak belépni.”

Mindezek után a hazai média egy része is felfigyelt az esetre, s mivel a kiadott MTI-tájékoztató tartalmazott olyan elemeket is, melyeket nem ismertünk, ezért újra megkerestük Orosz Györgyöt, a Pannon Egyetem Kommunikációs és Informatikai igazgatóját, hogy újabb információkhoz juthassunk. Orosz György a következő hivatalos állásfoglalást juttatta el hozzánk:

„Külső támadás érte a Pannon Egyetem jogtiszta szoftverek használatát támogató rendszerét

A Pannon Egyetem vezetése 2009. február 23-án értesült arról, hogy hackertámadás célpontjává vált, és hallgatói és oktatói adatok kerültek ki néhány hírportálhoz. Az Egyetem rektora azonnal megtette a szükséges intézkedéseket és vizsgálatot rendelt el az ügyben.

A vizsgálat folyamán rövid időn belül megállapítottuk, hogy a kikerült adatok nem személyes adatok, és nem a NEPTUN tanulmányi rendszerből kerültek ki. A megtámadott kari rendszer, ahonnan az ismeretlen támadó letöltötte az egyébként nem személyes jellegű adatokat tartalmazó adatbázist, az oktatáshoz, képzéshez szükséges legális szoftverek elérését szolgálja. A vizsgálat során a hivatkozott szerver hálózati elérését megszüntettük, az érintett hallgatók és oktatók értesítése folyamatban van. A NEPTUN-rendszer továbbra is biztonságosan működik.

A gyors és szakszerű beavatkozásnak köszönhetően az Egyetem már beazonosította a kívülről érkező támadás útvonalát, és a közeljövőben megteszi a szükséges intézkedéseket.”

Kérdések és válaszok

A fenti közlemény több kérdésre is választ adott, ám maradtak még számunkra homályos részek, ezért ezekről megkérdeztük az informatikai igazgatót. Ő kérdéseink egy részére válaszolt, a többire későbbre ígért választ.

Kezdjük azokkal, melyekre érkezett válasz:

IT café: A levelezőlistán kiadott tájékoztatóban azt írják, hogy a jelszó - ami ugye ez esetben a lényeg - a kari rendszerhez tartozik, ám a mi szondázásunk azt mutatja, hogy nem – vagy nem csak –, mivel az általunk megkeresettek ezt a Neptunhoz (is?) használták, igaz, már évekkel ezelőtt.

Orosz György: A jelszavak a kari rendszerhez tartozó jelszavak voltak. Itt én is szeretnék Öntől kérdezni: Ön használ-e egy jelszót több helyen, illetve ismer-e olyan felhasználót, aki ezt a gyakorlatot folytatja? Még egyszer szeretném kihangsúlyozni, hogy az adatbázisban szereplő jelszavak az adott kari rendszerhez tartozó jelszavak voltak.

E válasz egybecseng azzal a tájékoztatóval, melyet az egyetemi levelezőlistán tettek közzé, s melynek végén a következő bekezdés szerepel:

„Ez az eset ismételten rávilágít az informatikai rendszerek használatával kapcsolatos felelősségre, az előírt biztonsági intézkedések betartásának szükségességére. Ezúton is felhívjuk az egyetem polgárainak figyelmét arra, hogy a NEPTUN rendszerben használt jelszavukat (password) NE HASZNÁLJÁK más rendszerek hozzáférési kódjaként.”

Vagyis, hasonlóan a korábbi adatszivárgásból megismert helyzethez, az történhetett, s a kockázat azért lehetne magas, mivel hallgatók és tanárok egyaránt azt a – sokakra jellemző – gyakorlatot követik, hogy ugyanazon jelszóval lépnek be különböző informatikai rendszerekbe. Ez meglehetősen életszerűnek tűnik, ám az továbbra is kérdés, hogy a hacker miért rendelte össze a Neptun-kódokat és a jelszavakat? Valamint az még mindig nem világos, hogy ha a kari rendszer jelszavairól van szó, akkor hogy lehet az, hogy az általunk megkérdezettek mindannyian a Neptunhoz (is?) ezt a jelszót használták? A választ nem tudjuk, talán a legegyszerűbb megoldás az, hogy valóban: szinte mindenki azonos jelszót használt a két rendszerben.

IT café: „a kikerült adatok nem személyes adatok”: Ezt azért írja a közlemény, mivel már nem élő jelszavakról van szó?

Orosz György: Nem, ez nem arra utal, hogy élő vagy nem élő a jelszó.

A válasz enigmatikus, ugyanakkor kissé értetlenül állunk e megállapítás előtt – melyet a hallgatóknak szánt tájékoztató is megerősít:

„A megtámadott kari rendszer, ahonnan az ismeretlen támadó letöltötte az egyébként nem személyes jellegű adatokat tartalmazó adatbázist, az oktatáshoz, képzéshez szükséges legális szoftverek elérését szolgálja.”

Ám e tájékoztató következő bekezdésében ez szerepel:

„Az illetéktelenül letöltött adatbázisok oktatók és hallgatók adatait tartalmazzák. A következő adatok kerültek nyilvánosságra:

Az oktató neve, e-mail címe, Neptun kódja, a megtámadott rendszerhez tartozó belépési kódja és jelszava, a megtámadott rendszerhez való hozzáférésének érvényességi dátuma
A hallgató neve kódolva, anyja neve kódolva, e-mail címe, születési dátuma, Neptun kódja, a megtámadott rendszerhez tartozó jelszava, a megtámadott rendszerhez való hozzáférésének érvényességi dátuma”

Ez ügyben szakértőt is megkérdeztünk, s ő is megdöbbent a „nem személyes adatok” kitételen, hiszen már egy név is annak számít – kivéve, ha már nem él az illető –, ahogy az adatvédelmi törvény (2.§ 1. bek.) is megfogalmazza:

„személyes adat: bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt - közvetlenül vagy közvetve - név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet;”

IT café: Milyen belső hiányosságot, felelősséget állapítottak meg eddig? Gondolok itt például arra, hogy egy támadó text formában szerezhette meg a jelszavakat stb.

Orosz György: Ennek kiderítése folyamatban van, a fejleményről tájékoztatom.

Feltettünk még kérdéseket, ezekre egyelőre nincs válasz.

Elmagyarázná kissé egyszerűbben, világosabban, hogy mit jelent ez: „A megtámadott kari rendszer, ahonnan az ismeretlen támadó letöltötte az egyébként nem személyes jellegű adatokat tartalmazó adatbázist, az oktatáshoz, képzéshez szükséges legális szoftverek elérését szolgálja.” Hogy kell ezt elképzelni?
„Az Egyetem már beazonosította a kívülről érkező támadás útvonalát, és a közeljövőben megteszi a szükséges intézkedéseket.” Ennek részleteire is kíváncsi lennék. Ezek szerint megvan a gép legalább, ahonnan érkezett a támadás? Netán a személy is?
Pontosan melyik kari rendszerről van szó?

Várjuk a vizsgálat végét, s beszámolunk a fejleményekről is – s szeretnénk már végre írni annak a felelősségre vonási eljárásnak a végeredményéről is, mely a korábbi adatszivárgás ügyében zajlott le, ám hivatalos tájékoztató még mindig nem jelent meg róla.

Hozzászólások (30)

Azóta történt

Négy év börtönt kapott a cracker

Számítógépes csalásban találták bűnösnek a saját zombihálózatát építgető amerikai férfit.

Biztonság 2009-03-05 15
Hackerfogás a szomszédban

Húsz személyt vett őrizetbe a román rendőrség. A gyanú szerint külföldi bankok oldalait klónozták, hogy hozzáférjenek az ügyfelek számláihoz.

Biztonság 2009-03-12 4
Nyakon csípték a Pentagonba betörő hackert

Ezúttal egy amerikai kormányszerv volt a bűnöző célpontja. Hosszú évekre börtönbe kerülhet.

Biztonság 2009-03-20 20
22 hónap börtön az iskolai osztályzatok megváltoztatásáért

Meghackelte az iskola számítógépes rendszerét, és megváltoztatta az osztályzatokat egy floridai fiatal. Bűnösnek találták, közel két évre rács mögé vonul.

Mérleg 2009-04-15 12

Előzmények

Az internetes támadók nem mindig a pénzre hajtanak

Egy friss felmérés szerint a számítógépes bűnözők időnként egyszerű gonoszságból vagy elkötelezettségből törnek fel weboldalakat.

Biztonság 2009-02-27 1
Neptun-kódokat szerzett meg egy hacker? (Frissítve4)

A közelmúltban történt eset csak kismiska volt a mostanihoz képest: kérdés, mi volt a célja a hackernek?

Biztonság 2009-02-23 106
Felsőfokú adatvédelmi gyorstalpaló

A január 28-án megrendezett World Wide Identity konferencia hiánypótló és reményteli kezdeményezésnek bizonyult.

Biztonság 2009-01-30 4
A veszprémi egyetem mindenképp felelős az adatvesztésért

Az adatvédelmi szakértő szerint az egyetem mint adatkezelő semmiképpen nem rejtőzhet el, felelősség terheli a történtekért.

Biztonság 2008-12-11 9

Percről percre

Motorola Moto G24 Power - hol van az erő?

ma Nagy az aksi, gyenge a hardver, amiből hosszú üzemidőre lehetne következtetni. Tényleg így van?

LG 34GS95QE-B: OLED paneles, ívelt gamer monitor

ph Félmillió forintba kerül az LG új, 240 Hz-es gamer monitora. Megnéztük, mit tud!

Garmin Forerunner 165 - alapozó edzés

ma Leizzadtunk a Garmin legolcsóbb amoledes futóórájával.

MG4 menetpróba

ma Mindenképpen van fantázia az MG4-ben, az alapfeladatokat olcsón kipipálja, de többet akar nyújtani, mint amire képes.

Az MSI RadiX AXE6600 tesztje – router, játékosoknak

ph Az MSI is bejelentkezett a gamer routerek piacára, fő ajánlatuk egy Wi-Fi 6E kompatibilis modell.

Aktív témák