Biztonsági incidens egyetemi szinten

A Pannon Egyetemen bekövetkezett, a napokban nagy port kavart adatbiztonsági incidens körül kialakult helyzet egyre érdekesebb fordulatokat vesz.

Hétfőn jelent meg először a sajtóban, hogy a Pannon Egyetemet egy súlyos adatbiztonsági incidens érte, melynek során sok tanuló személyes adata került ki az Internetre. Ez egyben azt is jelentette, hogy egy olyan adatbázist lehetett — akár a Google segítségével — találni a világhálón, amelynek a legkevésbé sem kellett volna ott lennie. Az eset napvilágra kerülését követően kiderült, hogy az adatbázis a 2007/2008 tanévre kollégiumba felvételizők nevét, Neptun kódját, a kollégiumi felvételi honlapon használt jelszavát, személyigazolvány számát, bankszámlaszámát, lakcímét stb. tartalmazta.

A Pannon Egyetem belső vizsgálatot indított, de — a jelenlegi információink szerint — feljelentést még nem tett a rendőrségen. Viszont a Veszprémi Rendőr-Főkapitányság saját hatáskörben nyomozást kezdeményezett ismeretlen tettes ellen, számítástechnikai rendszer és adatok elleni vétség megalapozott gyanúja miatt.

A héten rengeteg különböző információ látott napvilágot arra vonatkozólag, hogy pontosan mi is történt az egyetemen. Először egy RaszP néven ismert blogger hívta fel a figyelmet a történtekre, ami után rendszergazdai mulasztást vagy hibát lehetett sejteni az ügy hátterében. Aztán később egy olyan levél kezdett terjedni, amelyet a Hallgatói Önkormányzat küldött ki az esettel kapcsolatban. Ez az Interneten most is számos helyen olvasható, azonban mi azért nem tesszük közzé, mert úgy látjuk, hogy azzal tovább fokoznánk a hallgatók adatainak kiszolgáltatottságát. Az e-mailben ugyanis az áll, hogy nemcsak a kollégiumi rendszerben, hanem a Neptunban is megváltoztatásra kerültek a jelszavak. Ez még nem is lenne baj, hiszen sok tanuló egyforma jelszót használ a különféle rendszerekhez. Azonban a HÖK leveléből az is kiderül, hogy automatikusan generált jelszavak léptek életbe, amik a levélben szereplő információk és többek között a különféle közösségépítő weboldalakon való keresgélés révén jó eséllyel visszafejthetők, legalábbis addig, amíg a hallgatók e jelszavakat meg nem változtatják.

A HÖK levelét egy hivatalos közlemény követte, amelyben a rektor számolt be a történtekről, és leírta az eddig lefolytatott vizsgálatok megállapításait:

“A közelmúltban támadás történt a Pannon Egyetem Kollégiumi szervere ellen, amelyen egy ideiglenesen mentett állományban a veszprémi Kampusz hallgatóinak kollégiumi jelentkezéseivel kapcsolatos adatai voltak. A szerveren a behatoló a betörés során biztonsági fájlokat törölt, ezáltal az adatbázis az Interneten keresztül hozzáférhetővé vált jogosulatlan személyek számára is. Miután ez kiderült, a rendszergazda azonnal megtette a szükséges védelmi intézkedéseket, haladéktalanul gondoskodott arról, hogy az adatok a továbbiakban ne legyenek elérhetők illetéktelen személyek számára. Az érintett adatállomány a veszprémi Kampusz elektronikus kollégiumi jelentkezés egy korábbi állapotának ideiglenes mentéséből származik. Az adatbázisban az internetes hírportálok által közölt hallgatói adatoknak csupán töredéke szerepel, de az eset súlyosságát ez nem befolyásolja.”

A rektor megemlítette, hogy az érintett kollégiumi rendszer tanévenként csupán egy hónapon keresztül, a kollégiumi jelentkezés időszakában hozzáférhető a hallgatók számára. Majd hozzátette, hogy “már az esetet megelőzően arról is döntés született, hogy a Pannon Egyetem további jelentős anyagi erőforrást kíván áldozni az informatikai rendszerei biztonsága és a külső támadások elleni védelem érdekében.” Az eseményeket figyelembe véve úgy tűnik, hogy ez a döntés némiképp megkésett, azonban az is könnyen elképzelhető, hogy egy esetleges emberi mulasztás miatt komolyabb technikai védelem mellett sem lehetett volna megakadályozni az incidenst. Ekkor viszont biztonsági szabályozásra vonatkozó hiányosságok merülnek fel. Sajnos az állítólagos behatolóval és az általa végzett tevékenységekkel kapcsolatban egyelőre nincsenek további hivatalos információk.

Úgy tudjuk, hogy a konkrét biztonsági esemény szeptember 20-án következett be, így arra is választ kell még találni, hogy mi történt az adatokkal az elmúlt jó néhány hétben, és vajon miért csak most derült fény az esetre. Amint újabb, érdemi információk látnak napvilágot, akkor azokról természetesen be fogunk számolni.