Betörés miatt volt adatvesztés a veszprémi egyetemen

A veszprémi Pannon Egyetem (PE) vezetése szerint nem egy rendszergazda hanyagsága, hanem egy támadás miatt kerültek ki hallgatók ezreinek adatai az internetre az intézmény egyik szerveréről. A Jézus Szíve Partizánbrigád (JSZP) blog még december 7-én, vasárnap adott hírt arról, hogy a veszprémi egyetem (Pannon Egyetem) hatezer hallgatójának személyes adatai, azonosítója és jelszava került ki az internetre egy nyilvános mappában elhelyezett adatbázisban. (Az erről szóló bejegyzés itt olvasható.)

A blog szerzője, a RaszP néven publikáló Vigh István szerint az adatokat tartalmazó fájl egy egyetemi rendszergazda hanyagsága miatt kerülhetett ki a netre, aki, feltételezése szerint, a kollégiumi jelentkezések adatbázisát egyszerűen feltöltötte a nyilvános tárhelyére egy szerveren. A blogger e-mailben feltett kérdésünkre azt válaszolta, hogy ő maga egy Google-kereséssel bukkant rá az adatokat tartalmazó fájlra, amelyeket a kereső beindexelt. Vigh a fájl keltezéséből arra következtetett, hogy az állomány létrehozása, vagyis június 4-e óta elérhető volt a neten.

A támadás miatt vált elérhetővé az adatbázis

A Pannon Egyetem illetékesei kivizsgálták az esetet, és megállapították, hogy a hallgatói adatokat tartalmazó fájl egy támadás miatt kerülhetett ki az internetre. Az intézmény december 9-én, kedden délután a szerkesztőségünkbe eljuttatott közleménye szerint az egyetem kollégiumi szerverét a közelmúltban támadás érte. Ezen a szerveren egy ideiglenesen mentett állományban a veszprémi Kampusz hallgatóinak kollégiumi jelentkezéseivel kapcsolatos adatai voltak.

A közlemény szerint a szerveren a támadás során a behatoló biztonsági fájlokat törölt, így válhatott az adatbázis szabadon hozzáférhetővé az interneten keresztül. A PE szerint miután ez kiderült, "a rendszergazda azonnal megtette a szükséges védelmi intézkedéseket, haladéktalanul gondoskodott arról, hogy az adatok a továbbiakban ne legyenek elérhetők illetéktelen személyek számára."

Az érintett adatállomány az egyetem közleménye szerint az elektronikus kollégiumi jelentkezés egy korábbi állapotának ideiglenes mentéséből származik. Az adatbázisban a PE illetékesei szerint csak töredéke szerepel mindazoknak az adatoknak (név, cím, személyi igazolvány száma, azonosítók, jelszavak), amelyeket az internetes portálok a JSZP blog nyomán említettek, de, teszi hozzá a közlemény, "az eset súlyosságát ez nem befolyásolja."

Az internetre kikerült adatbázisban található azonosítók és jelszavak nem a Neptun tanulmányi nyilvántartó rendszerhez tartoztak, hanem a kollégiumi jelentkezéseket kezelő rendszerhez, amely tanévenként egy hónapon keresztül, a jelentkezési időszakban üzemel.

A rendőrség is vizsgálódik

Az egyetem stratégiai igazgatója, Réti Tamás az MTI-nek kedden úgy nyilatkozott: a több ezer hallgató adatai "egy internetes oldalra" kerültek fel, és többek közt a lakhelyüket, a személyi igazolványuk számát, illetve édesanyjuk nevét, e-mail címüket és az ezekhez tartozó jelszavakat is tartalmazta az adatbázis. Réti Tamás elmondta, hogy kedden az egyetem megteszi a rendőrségen a feljelentést, noha egyelőre egyetlen hallgató sem jelezte azt, hogy valamilyen kár érte volna személyes adatai nyilvánosságra kerülése miatt.

Az MTI beszámolója szerint egy honlapról értesült az egyetem vezetése kedden arról, hogy az adatlopást a "Jézus Szíve Partizánbrigád" vállalta magára, s állítólag a kollégiumi jelentkezéssel kapcsolatos adatbázist "kapták el" (amit később a hivatalos közlemény is igazolt). Ebből úgy tűnik, mintha az egyetem vezetése az esetet nyilvánosságra hozó bloggert tenné felelőssé az adatlopásért, noha Vigh írásából és kérdéseinkre e-mailben adott válaszából is az derül ki, hogy véletlenül bukkant az adatokra. A blogger a JSZP-n közzétett, folyamatosan frissített bejegyzésében nem tette közzé a hallgatói adatbázist, és mind a szájton, mind az iWiW-en, a Pannon Egyetemhez kapcsolódó klubokon keresztül figyelmeztetni próbálta az érintetteket.

A hírügynökség cikkünk megjelenése után az alábbiakkal egészítette ki az esetről közölt beszámolóját: "Az MTI-hez kedden JSZP aláírással elektronikus levél érkezett, amelynek írója - a Jézus Szíve Partizánbrigád című honlapot üzemeltetők nevében - azt állítja: "adatlopásról nincs szó, rendszergazdai hiba történt, melyre mi hívtuk fel a közvélemény figyelmét". Az adatbázis rendszergazdai tévedés miatt került fel az internetre, aztán a Google kereső indexelte, és az adatbázisban szereplő nevek bármelyikére kihozta - közölte a JSZP. Az adatok mindenki számára nyilvános mappában, jelszó, kódolás nélkül, egy egyszerű szövegfájlban voltak - áll az elektronikus levélben."

Váradi Piroska, a Veszprém Megyei Rendőr-főkapitányság szóvivője kedden délután azt közölte az MTI-vel, hogy eddig még nem érkezett feljelentés a Pannon Egyetemtől. Ettől függetlenül a rendőrség vizsgálatot indított, mert az internetről és hírügynökségi forrásokból tudomást szerzett az ügyről - tette hozzá a szóvivő. Tájékoztatása szerint egyelőre azt vizsgálják, hogy felmerül-e bűncselekmény elkövetésének gyanúja. Amennyiben igen, úgy a rendőrség visszaélés személyes adatokkal bűncselekmény alapos gyanúja miatt nyomozást rendel majd el ismeretlen tettes vagy tettesek ellen.