Neptun-kódokat szerzett meg egy hacker? (Frissítve4)

Írta: Dajkó Pál
Forrás: IT café
2009-02-23 19:07

A lapunk által is figyelemmel kísért, feltehetően felelőtlenségből eredő veszprémi adatszivárgás eltörpülhet ahhoz az ügyhöz képest, melyről az IT café – több hazai médiával együtt – ma délután egy elektronikus levélből értesült.

A következő, kevés részlettel szolgáló levél érkezett szerkesztőségünkhöz:

„Üdvözletem. Csatolva a Pannon Egyetem neptunkódjainak és jelszavainak egy része, diákoké, tanároké(!).

Gondolom van nemi hírértéke a dolognak a tavaly év végi adatkikerülési ügy kapcsán.

Szeretnem leszögezni, hogy a csatolt adatokat jelen levél címzettjein kívül nem osztottam meg senkivel, az adatok birtoklásából nem származott anyagi előnyöm, a szerveren semmilyen módosítást nem hajtottam végre, valamint jelen levél elküldése után az adatokat töröltem a számítógépemről.

Tájékoztatásul közlöm, hogy a levél fejlécében található e-mail cím tulajdonosának semmi köze ehhez a levélhez (gyk. nem ő a feladó), így ne válaszoljanak, mert nem jut el hozzam.

Szép napot.”

A levél mellékleteként két táblázatot kaptunk, melyek közül az egyik a Pannon Egyetem körülbelül négyszáz hallgatójának, a másik 27 tanárjának a Neptun-rendszerben használt azonosítóját, jelszavát, e-mail címét, valamint valódi nevét tartalmazza – legalábbis a levél írója szerint. Az adatok valódiságát a hír írásának idejéig nem tudtuk ellenőrizni, de amint biztos információhoz jutunk, arról is beszámolunk.

Ez az egyik legsúlyosabb fajtája a biztonsági incidenseknek, hiszen a tanári jelszavak tanulmányi adatok módosítására adnak lehetőséget, s a hallgatói adatok is komoly visszaéléseket tesznek lehetővé.

A levél érkezése után felvettük a kapcsolatot a Pannon Egyetemmel, tájékoztattuk az informatikai vezetőt és a rektort a történtekről. Igyekeztünk megkeresni a fejlesztőt, az SDA Stúdió Kft.-t is, de náluk már addigra senki nem vette fel a telefont. A betörés tényét egyelőre senki nem erősítette meg, de nem is cáfolta.

Tájékoztatásul közöljük, hogy e hír megírása után az adatokat töröltük a számítógépeinkről.

Frissítés1: Az SDA Stúdió Kft. időközben tájékoztatott bennünket, hogy a Neptun rendszerből jelszavak nem kerülhettek ki, mivel a rendszer nem tárol jelszavakat. Pontosabb információk hamarosan a cég közleményéből derülnek majd ki, melyet rövidesen közzéteszünk.

Frissítés2: Az eddigi visszajelzésekből úgy tűnik, hogy a levélben szereplő kódok, jelszavak már régiek, néhány évvel ezelőttiek, ám akad köztük adminisztrátori jelszó is, mely ha működik, további adatokhoz vezethet el. Továbbra is várjuk a hivatalos közleményt.

Frissítés3: A Neptun fejlesztője, az SDA Stúdió Kft. a következő nyilatkozatot juttatta el szerkesztőségünkbe:

„Engedjék meg, hogy az ismeretlen személy által Önöknek is elküldött és általam is mellékelt e-mailra az SDA Stúdió Kft. (Neptun tanulmányi rendszer fejlesztője) nevében röviden reagáljak.

Az ismeretlen által megküldött fájlban szereplő adatok nem származhatnak a Neptun.Net 3R tanulmányi rendszerből, mivel a rendszer fizikailag nem tárolja a felhasználók jelszavait.

A Neptun.Net tanulmányi rendszer egy piacvezető korszerű háromrétegű alkalmazás, amely a felhasználók jelszavait nem, csak a jelszavak hash-ét tárolja, azt is még ezen kívül is továbbkódolt formában. Ez azt jelenti, hogy a rendszer a jelszó megadásakor egy egyirányú matematikai algoritmussal lenyomatot készít a felhasználó által begépelt jelszóról és csak ezt a kódot (hash) tárolja, illetve hasonlítja össze az adatbázisban szereplő korábbi lenyomattal. A további kódolás eredményeként ez a lenyomat akkor is különbözik a különböző felhasználóknál, ha esetleg egyforma jelszót használnak. Ennek következtében a Neptun rendszerből a felhasználói jelszavakat nem lehet visszanyerni, így azokkal ilyen módon visszaélni sem lehet.

Nagyon sajnáljuk, hogy időről időre – feltehetően üzleti okokból – ismeretlenek hamisan azt állítják, hogy hozzájutottak a Neptun rendszerből származó jelszavakhoz, de ez a fenti okok miatt fizikailag sem lehetséges.”

Még mindig nem tudni, hogy a levél küldője hogyan jutott az adatokhoz, elképzelhető, hogy hasonló eset történt, mint tavaly, amikor feltehetően (a vizsgálat még nem zárult le) a kollégiumi rendszer hiányosságai, illetve személyes felelőtlenség vezetett adatszivárgáshoz. Az eddigi jelekből úgy tűnik, senkinek nincsenek az adatai közvetlen veszélyben, s még az is bizonytalan, hogy nem manipulált adatsorral állunk-e szemben.

Frissítés4: Nemrég megkaptuk a Pannon Egyetem informatikai vezetőjének hivatalos közleményét is. Ezek szerint:

„A 2009. február 23-i értesítésüket követően haladéktalanul megkezdtük az ügy kivizsgálását, a szükséges biztonsági intézkedéseket megtettük.

A vizsgálat folyamán rövid időn belül megállapítottuk, hogy az adatok nem a NEPTUN tanulmányi rendszerből kerültek ki. Az eddig elvégzett vizsgálatok alapján valószínűsíthető, hogy a kikerült adatok az egyik karunk által üzemeltetett technikai jellegű rendszer felhasználói adatai, többek között az adott rendszerhez hozzáférést biztosító jelszó. A hivatkozott szerver hálózati elérését megszüntettük, az érintett hallgatók és oktatók értesítése folyamatban van, miszerint a NEPTUN rendszer továbbra is biztonságosan működik, abba a felhasználók nevében illetéktelen személyek nem tudnak belépni.

Az adatok kikerülésének körülményeit külső szakértő bevonásával jelenleg is vizsgáljuk, a fejleményekről a későbbiekben tájékoztatjuk.”

Hozzászólások (106)

Azóta történt

Törje fel a Google platformját, nyerjen kétmilliót!

Hackerversenyt hirdetett a Google: a cég egyik új fejlesztésében kell biztonsági réseket felkutatni. A fődíj 8192 dollár.

Szoftver 2009-02-27 12
Hacker járta be a Pannon Egyetem informatikai rendszerét

A hét elején kipattant adatszivárgási ügy eseményeiről és a vizsgálat jelenlegi állásáról készítettük összeállításunkat.

Biztonság 2009-02-27 30

Előzmények

Hackerjáték indult az Adatvédelmi Napon

A PET Portál és az IT café szteganográfiai játéka ma éjfélkor indult, s két hétig, február 11-éig tart.

Szoftver 2009-01-28 0
A veszprémi egyetem mindenképp felelős az adatvesztésért

Az adatvédelmi szakértő szerint az egyetem mint adatkezelő semmiképpen nem rejtőzhet el, felelősség terheli a történtekért.

Biztonság 2008-12-11 9
Népszerű a hackerképzés a NetAcademiánál

Angol nyelvű tanfolyamokat is indítanak a környező országokból érkező külföldi szakemberek képzésére.

Biztonság 2008-12-10 0
Magyar egyetemisták jelszavai, adatai kerültek ki a netre

Az egyetemisták hozzájárulása nélkül került nyilvánosságra név, lakcím, azonosító, jelszó – mi más is kéne még egy adathalásznak, hogy visszaéljen vele?

Biztonság 2008-12-08 121

Percről percre

Senua’s Saga: Hellblade II teszt

gp A szkizofréniától és rabszolga-kereskedőktől egyaránt szenvedő Senua újabb különleges utazásra indul, ezúttal a messzi észak ősi istenekkel és modern kegyetlenséggel teli vidékére.

Hardverek pünkösdre

ph E-book olvasók, komponensek és perifériák kerültek hétvégi összeállításunkba.

LG C4 tévé, a népszerű OLED-sorozat legfrissebb tagja

ph Leteszteltük az OLED evo paneles, 4K felbontású, mélynyomókkal is felszerelt, 65 hüvelykes televíziót.

Huawei Watch Fit 3 - zöldalma

ma Megnéztük, hogy tényleg okosóra lett-e a Huawei fitnesz karperecéből.

Stellar Blade teszt

gp Látványos akciójáték soulslike-elemekkel, amelynek legközelebbi rokona sok szempontból a Nier Automata. Hát csoda, hogy azonnal belevetettük magunkat?

Állásajánlatok

Eladó - Szerviztechnikus

Cég: Alpha Laptopszerviz Kft.

Város: Pécs

Részletek

Full Stack Developer Diákmunka

Cég: Ozeki Kft.

Város: Debrecen

Részletek

Aktív témák