Tanulságos incidens a Yale Egyetemen

Az oktatási intézmények az elmúlt években meglehetősen sokszor kerültek a kiberbűnözés célkeresztjébe, különösen, ami az amerikai egyetemeket illeti. A legutóbbi biztonsági incidens azonban nem feketekalapos hekkerek ténykedése miatt következett be, hanem sokkal inkább az IT-üzemeltetők hanyagsága, figyelmetlensége járult hozzá ahhoz, hogy több tízezer személy bizalmas adata került nyilvánosságra.

Az eset elszenvedője a Yale Egyetem volt, amely hivatalosan is elismerte, hogy egy mulasztás következtében alkalmazottak és diákok adatai kerültek ki az internetre, ahonnan hosszú időn keresztül mindenféle nehézség nélkül letölthetők voltak a szóban forgó adatállományok. Ezek többnyire neveket és társadalombiztosítási számokat tartalmaztak.

Az incidens gyökerei egészen 2010 szeptemberéig nyúlnak vissza, amikor a Google úgy határozott, hogy a keresőmotorját olyan módon bővíti ki, hogy az egyes FTP-szerverekről is képes legyen információk lekérdezésére, illetve a jelszó nélkül is elérhető fájlok indexelésére. Azóta kiderült, hogy a Yale egyik, hitelesítést nélkülöző FTP-szerverére érzékeny adatok kerültek fel, amelyeket a Google keresőmotorja feltárt, majd lementett egyes fájlokat cache-elési célokkal. Az egyetem viszont csak júniusban értesült arról, hogy olyan fájlokat is sikerült megosztani az interneten, amelyeket nagyon nem szabadott volna.

A Yale annyit közölt, hogy az incidens összesen 43 ezer személyt érintett, akiket már értesített. Arról azonban nem kívánt beszámolni, hogy miként történhetett meg az, hogy egy védtelen FTP-szerverre tömegesen kerültek fel személyes adatok. Továbbá azt sem árulta el, hogy az incidensről a nyár folyamán hogyan szerzett tudomást.

Egyelőre nincs semmiféle bizonyíték arra, hogy a letölthetővé vált adatokkal bárki visszaélt volna. Ennek ellenére az egyetem minden érintett számára adatlopásra vonatkozó biztosítást kötött, és kétéves hitelkártya-monitorozó szolgáltatásra fizetett elő. Emellett jelezte, hogy az eset tudomására való kerülésekor azonnal leállította az érintett kiszolgálót, és a Google munkatársai eltávolították a kereső által letárolt adatokat.

Történt már hasonló eset

Júniusban már napvilágra került egy hasonló incidens, melynek során az SCMLC (Southern California Medical-Legal Consultants) tett közzé bizalmas adatokat az egyik szerverének nem megfelelő védelme miatt. Az akkori esemény körülbelül 300 ezer személyt érintett. Ezekre az adatokra is ráakadt a Google keresője, de az SCMLC korábban jelezte, hogy a keresőből az arra jogosult szakemberek eltávolították a lementett adatokat. A júniusi incidens során 3875 állomány vált letölthetővé, melyek titkosítatlanul tartalmaztak több gigabájtnyi adatot.