Újabb biztonsági incidens a Pannon Egyetemen
Veszprém neve az utóbbi időben gyakran szerepelt a médiában. Ennek oka a veszprémi kézilabdások tragédiája, illetve a tragédiából építkezni képes csapat sikere. Korábban ugyancsak széles sajtóvisszhangot kapott az a hír, amikor tavaly nyilvánosságra kerültek a Pannon Egyetem kollégiumának informatikai rendszerében tárolt személyes adatok. Nem a kollégiumi rendszer feltöréséről volt szó - egész egyszerűen a rendszergazda feledékenységéből, figyelmetlenségéből adódott, hogy az adatbázis mentését tartalmazó állomány elérhetővé vált az interneten. Méghozzá olyan egyszerűen, hogyha az adatbázis egyik szerepelője beírta a saját nevét a Google keresőjébe, akkor a találatok között felbukkant az említett archívum is.
Valójában tehát nem alkalmazások vagy rendszerek biztonsági réséről volt szó, hanem arról a bizonyos emberi tényezőről, ami manapság az interneten jelen lévő (és akár terjedőben lévő) biztonsági problémák jó részét jellemzi.
A Neptun rendszer a felsőoktatási intézményekben használt tanulmányi rendszer, mely tartalmazza a hallgatók, oktatók tanulmányokkal kapcsolatos adatait, tanulmányi eredményeket. Egyes felsőoktatási intézményekben a tanulmányi eredményeket már CSAK a Neptun rendszerben tárolják, nem használnak papír alapú értékelést (közismert nevén indexet).
Mindebből adódóan a mostani eset sokkal súlyosabbnak tűnik.
Ugyanaz, másképp
Ismét valami hasonló történt tegnap, február 23-án, azonban a nyilvánosságra került adatok köre sokkal súlyosabb problémát jelent. Számos, informatikával foglalkozó online média adott hírt róla, hogy egy ismeretlen forrásból származó e-mail érkezett hozzá, mely a Pannon Egyetem Neptun nevű rendszerében használatos hozzáféréseket és egyéb adatokat tartalmazott. A nyilvánosságra került adatok között hallgatók és oktatók (!) Neptun-kódja, jelszava, teljes neve, illetve e -mail címe szerepelt. Az adatok mellett egy 2007. december 31-ére vonatkozó lejárati dátum is szerepelt.
A nyilvánosságra került adatok közül értelemszerűen a legérzékenyebb a jelszó. Ez különösen akkor jelent problémát, ha ugyanazt a jelszót a használója több rendszerhez is használja. A Neptun rendszer aktuális változata a jelszavakat nem tartalmazza olvasható formában, és semmilyen adatot nem tárol, amivel a jelszó előállítható lenne. Erre utal a neptun rendszert fejlesztő SDA Stúdió Kft. közleménye, melynek utolsó mondata:
"Nagyon sajnáljuk, hogy időről időre - feltehetően üzleti okokból - ismeretlenek hamisan azt állítják, hogy hozzájutottak a Neptun rendszerből származó jelszavakhoz, de ez a fenti okok miatt fizikailag sem lehetséges."
Egy egyetemi rendszerben azonban nem a Neptun az egyetlen, ahol az oktatók, hallgatók Neptun-kódokra épülő azonosítását használhatják. Jelen esetben tehát egy ilyen rendszer felhasználói azonosításra szolgáló adatai kerülhettek ki.
A rendszert üzemeltetőinek ilyen esetben is alapvető kötelessége, hogy korrekt tájékoztatást adjanak: mi történt, milyen adatok kerültek ki, és mit kell tenni annak érdekében, hogy a biztonságos működés helyreálljon. Jelen esetben a Pannon Egyetem leállította, majd újraindította a Neptun rendszert. Természetesen az érintetteknek erősen javasolt jelszavaik megváltoztatása.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.