Hirdetés

Hacker járta be a Pannon Egyetem informatikai rendszerét

A napokban egy újabb adatbiztonsági incidensre derült fény, mely újra a Pannon Egyetemet érinti, s bár teljes pontossággal még nem lehet megállapítani, hogy mi is történt, most igyekszünk összefoglalni az eddigi tényeket.

Az Ismeretlen Hacker jelentkezik

Február 23-án egy ismeretlen (a továbbiakban: hacker) körlevelet küldött a magyar sajtó jó néhány szereplőjének, így az IT café-nak is, mely a következőképpen kezdődött: „Üdvözletem. Csatolva a Pannon Egyetem neptunkódjainak és jelszavainak egy része, diákoké, tanároké(!)”. A levél mellékletében két táblázat szerepelt: az egyikben 27 tanár, a másikban 500 hallgató adatai szerepeltek. A tanári táblázat volt a teljesebb, itt a Neptun-kód (azonosító) mellett szerepelt többek között egy jelszó, az e-mail cím és a teljes név. A hallgatói táblázatban a Neptun-kód mellett többek között (körülbelül az esetek felében, harmadában) szerepelt egy jelszó, mindenkinél a születési dátum és az e-mail cím.

Miközben igyekeztünk utánajárni, hogy a megkapott adatok valósak-e, azonnal értesítettük a Pannon Egyetem illetékeseit a lehetséges veszélyről. A visszajelzésekből kiderült, hogy valódi információkról van szó, ám a táblázatokban szereplő adatok egy régebbi adatbázisból származhatnak, mivel az érintettek évekkel korábban használták a megadott jelszavakat.

Hirdetés

Az IT café hírére reagálva a Neptun fejlesztője, az SDA Stúdió Kft. jelezte, hogy magából a Neptunból semmiképp nem kerülhettek ki a jelszavak, mivel a rendszer nem tárol jelszavakat: „Az ismeretlen által megküldött fájlban szereplő adatok nem származhatnak a Neptun.Net 3R tanulmányi rendszerből, mivel a rendszer fizikailag nem tárolja a felhasználók jelszavait.” A részletekről érdeklődve többször is beszélgettünk az SDA Stúdió egyik fejlesztőjével, s ő a rendszer működését felvázolva meggyőző magyarázatot nyújtott a fenti állítás alátámasztására.

A Pannon Egyetem lépései

Ez idő alatt a Pannon Egyetem vezetői sem tétlenkedtek, s a hétfő esti telefonhívás, majd az általunk továbbított e-mail után haladéktalanul intézkedtek, s elindították a vizsgálatot, hogy történt-e incidens, s ha igen, milyen jellegű.

Február 24-én, kedden meg is kaptuk hivatalos közleményüket:

„A vizsgálat folyamán rövid időn belül megállapítottuk, hogy az adatok nem a NEPTUN tanulmányi rendszerből kerültek ki. Az eddig elvégzett vizsgálatok alapján valószínűsíthető, hogy a kikerült adatok az egyik karunk által üzemeltetett technikai jellegű rendszer felhasználói adatai, többek között az adott rendszerhez hozzáférést biztosító jelszó. A hivatkozott szerver hálózati elérését megszüntettük, az érintett hallgatók és oktatók értesítése folyamatban van, miszerint a NEPTUN rendszer továbbra is biztonságosan működik, abba a felhasználók nevében illetéktelen személyek nem tudnak belépni.”

Mindezek után a hazai média egy része is felfigyelt az esetre, s mivel a kiadott MTI-tájékoztató tartalmazott olyan elemeket is, melyeket nem ismertünk, ezért újra megkerestük Orosz Györgyöt, a Pannon Egyetem Kommunikációs és Informatikai igazgatóját, hogy újabb információkhoz juthassunk. Orosz György a következő hivatalos állásfoglalást juttatta el hozzánk:

 

Külső támadás érte a Pannon Egyetem jogtiszta szoftverek használatát támogató rendszerét

A Pannon Egyetem vezetése 2009. február 23-án értesült arról, hogy hackertámadás célpontjává vált, és hallgatói és oktatói adatok kerültek ki néhány hírportálhoz. Az Egyetem rektora azonnal megtette a szükséges intézkedéseket és vizsgálatot rendelt el az ügyben.

A vizsgálat folyamán rövid időn belül megállapítottuk, hogy a kikerült adatok nem személyes adatok, és nem a NEPTUN tanulmányi rendszerből kerültek ki. A megtámadott kari rendszer, ahonnan az ismeretlen támadó letöltötte az egyébként nem személyes jellegű adatokat tartalmazó adatbázist, az oktatáshoz, képzéshez szükséges legális szoftverek elérését szolgálja. A vizsgálat során a hivatkozott szerver hálózati elérését megszüntettük, az érintett hallgatók és oktatók értesítése folyamatban van. A NEPTUN-rendszer továbbra is biztonságosan működik.

A gyors és szakszerű beavatkozásnak köszönhetően az Egyetem már beazonosította a kívülről érkező támadás útvonalát, és a közeljövőben megteszi a szükséges intézkedéseket.

Kérdések és válaszok

A fenti közlemény több kérdésre is választ adott, ám maradtak még számunkra homályos részek, ezért ezekről megkérdeztük az informatikai igazgatót. Ő kérdéseink egy részére válaszolt, a többire későbbre ígért választ.

Kezdjük azokkal, melyekre érkezett válasz:

IT café: A levelezőlistán kiadott tájékoztatóban azt írják, hogy a jelszó - ami ugye ez esetben a lényeg - a kari rendszerhez tartozik, ám a mi szondázásunk azt mutatja, hogy nem – vagy nem csak –, mivel az általunk megkeresettek ezt a Neptunhoz (is?) használták, igaz, már évekkel ezelőtt.

Orosz György: A jelszavak a kari rendszerhez tartozó jelszavak voltak. Itt én is szeretnék Öntől kérdezni: Ön használ-e egy jelszót több helyen, illetve ismer-e olyan felhasználót, aki ezt a gyakorlatot folytatja? Még egyszer szeretném kihangsúlyozni, hogy az adatbázisban szereplő jelszavak az adott kari rendszerhez tartozó jelszavak voltak.

E válasz egybecseng azzal a tájékoztatóval, melyet az egyetemi levelezőlistán tettek közzé, s melynek végén a következő bekezdés szerepel:

„Ez az eset ismételten rávilágít az informatikai rendszerek használatával kapcsolatos felelősségre, az előírt biztonsági intézkedések betartásának szükségességére. Ezúton is felhívjuk az egyetem polgárainak figyelmét arra, hogy a NEPTUN rendszerben használt jelszavukat (password) NE HASZNÁLJÁK más rendszerek hozzáférési kódjaként.”

Vagyis, hasonlóan a korábbi adatszivárgásból megismert helyzethez, az történhetett, s a kockázat azért lehetne magas, mivel hallgatók és tanárok egyaránt azt a – sokakra jellemző – gyakorlatot követik, hogy ugyanazon jelszóval lépnek be különböző informatikai rendszerekbe. Ez meglehetősen életszerűnek tűnik, ám az továbbra is kérdés, hogy a hacker miért rendelte össze a Neptun-kódokat és a jelszavakat? Valamint az még mindig nem világos, hogy ha a kari rendszer jelszavairól van szó, akkor hogy lehet az, hogy az általunk megkérdezettek mindannyian a Neptunhoz (is?) ezt a jelszót használták? A választ nem tudjuk, talán a legegyszerűbb megoldás az, hogy valóban: szinte mindenki azonos jelszót használt a két rendszerben.

IT café: „a kikerült adatok nem személyes adatok”: Ezt azért írja a közlemény, mivel már nem élő jelszavakról van szó?

Orosz György: Nem, ez nem arra utal, hogy élő vagy nem élő a jelszó.

A válasz enigmatikus, ugyanakkor kissé értetlenül állunk e megállapítás előtt – melyet a hallgatóknak szánt tájékoztató is megerősít:

„A megtámadott kari rendszer, ahonnan az ismeretlen támadó letöltötte az egyébként nem személyes jellegű adatokat tartalmazó adatbázist, az oktatáshoz, képzéshez szükséges legális szoftverek elérését szolgálja.”

Ám e tájékoztató következő bekezdésében ez szerepel:

„Az illetéktelenül letöltött adatbázisok oktatók és hallgatók adatait tartalmazzák. A következő adatok kerültek nyilvánosságra:

  • Az oktató neve, e-mail címe, Neptun kódja, a megtámadott rendszerhez tartozó belépési kódja és jelszava, a megtámadott rendszerhez való hozzáférésének érvényességi dátuma
  • A hallgató neve kódolva, anyja neve kódolva, e-mail címe, születési dátuma, Neptun kódja, a megtámadott rendszerhez tartozó jelszava, a megtámadott rendszerhez való hozzáférésének érvényességi dátuma”

Ez ügyben szakértőt is megkérdeztünk, s ő is megdöbbent a „nem személyes adatok” kitételen, hiszen már egy név is annak számít – kivéve, ha már nem él az illető –, ahogy az adatvédelmi törvény (2.§ 1. bek.) is megfogalmazza:

„személyes adat: bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt - közvetlenül vagy közvetve - név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet;”

IT café: Milyen belső hiányosságot, felelősséget állapítottak meg eddig? Gondolok itt például arra, hogy egy támadó text formában szerezhette meg a jelszavakat stb.

Orosz György: Ennek kiderítése folyamatban van, a fejleményről tájékoztatom.

Feltettünk még kérdéseket, ezekre egyelőre nincs válasz.

  • Elmagyarázná kissé egyszerűbben, világosabban, hogy mit jelent ez: „A megtámadott kari rendszer, ahonnan az ismeretlen támadó letöltötte az egyébként nem személyes jellegű adatokat tartalmazó adatbázist, az oktatáshoz, képzéshez szükséges legális szoftverek elérését szolgálja.” Hogy kell ezt elképzelni?
  • „Az Egyetem már beazonosította a kívülről érkező támadás útvonalát, és a közeljövőben megteszi a szükséges intézkedéseket.” Ennek részleteire is kíváncsi lennék. Ezek szerint megvan a gép legalább, ahonnan érkezett a támadás? Netán a személy is?
  • Pontosan melyik kari rendszerről van szó?

Várjuk a vizsgálat végét, s beszámolunk a fejleményekről is – s szeretnénk már végre írni annak a felelősségre vonási eljárásnak a végeredményéről is, mely a korábbi adatszivárgás ügyében zajlott le, ám hivatalos tájékoztató még mindig nem jelent meg róla.

Azóta történt

Előzmények