Több ezer egyetemista telefonszáma, emailcíme, személyiigazolvány-száma, bankszámlaszáma és a Neptun tanulmányi rendszerhez tartozó jelszava került ki a veszprémi egyetemről az internetre.
A JSZP blog szellőztette meg, hogy a veszprémi egyetem egyik rendszergazdája egy, a weben mindenki számára elérhető, publikus könyvtárba töltötte fel az egyetem kollégiumába jelentkezők adatbázisát. Az első hírek szerint körülbelül 6000, a valóságban 1700 ember nevét, telefonszámát, lakcímét, e-mail címét, személyigazolvány-számát, a Neptun tanulmányi rendszerhez tartozó azonosítókat, jelszavakat tartalmazó adatbázist a neten bárki eléthette.
Nem magát a Neptun rendszert törték fel, vagyis nem innen szivárgott ki a hatalmas mennyiségű információ, hanem feltehetően egy hibás döntés következtében a kollégiumi rendszer egyik informatikusa vétett szarvashibát: a bizalmas adatokat egy nyilvános, az interneten könnyen elérhető helyre mentette el, ráadásul a fájlokat titkosítás nélkül tette közzé. Az adatokra nem könnyű rábukkanni, de a veszély ettől még fennáll, ugyanis a nyilvános hozzáférés miatt a Google és a többi keresőmotor indexeli az oldalt, tehát bizonyos kereséseknél megjelenik találatként.
A titkosítatlan adatbázis több hónapig szabadon letölthető volt az internetről (a fájl dátuma júniusi). Az IT Café biztonságtechnikai szakértője, Krasznay Csaba így rekonstruálta az eseményeket:
"Az esemény az információbiztonsági hiányosságok tökéletes iskolapéldája, mondhatni állatorvosi lova. Az adminisztrátor készít egy adatbázismentést, amit utána feltölt egy publikusan elérhető könyvtárba, amit a Google elér. Nem egyedi, próbálkozzunk csak meg a "phpMyAdmin SQL Dump" inurl:sql site:hu Google kulcsszóval. Ez az információszerzés legegyszerűbb módja, semmit nem kell hackelni. Az adatbázisban nem kódolják a jelszavakat. Gyakori programozói trehányság, hogy nem az MD5 hash-t, hanem a kódolatlan szavakat helyezik el az adatbázisban. Ez olyannyira tipikus, hogy vegyük tudomásul: ha egy jelszót beírunk a portálra, azt mindenkinek a tudomására hoztuk. Ebben akkor lehetünk igazán biztosak, ha a regisztráció után a szolgáltató e-mailben visszaküldi a jelszavunkat."
Az adatok azóta már titkosítva lettek, a publikus szerverekről, és a Google cache-ből is eltűntek, de hogy az elmúlt hónapokban hányan töltötték le az adatbázist, és próbálnak visszaélni a megszerzett adatokkal, azt egyelőre nem tudni. Mindenesetre a veszprémi egyetemistáknak melegen ajánlott a jelszavaik lecserélése.
A Veszprém Megyei Rendőr-főkapitányság ismeretlen tettes ellen, számítástechnikai rendszer és adatok elleni vétség megalapozott gyanúja miatt indított nyomozást az ügyben. Az egyetem közleménye már egy, a szerverükre behatoló támadóra hárítja a felelősséget, bár az eredeti információk alapján úgy tűnik, a rendszergazdájuk hanyagsága miatt került ki a netre az adatbázis.
Kövesse az Indexet Facebookon is!
Követem!
