Zughekker

Naszóval. Van itt ez a veszprémi adatbázis hekkelés, pontosabban aki még nem jött volna rá, ál-hekkelés.

Az eset kissé hasonlít az általunk korábban megírt friderikusz.hu-s műhibához ahol szintén egy rakás személyes adatokat tartalmazó fájl került közprédára. Ahhoz az esethez hasonlóan ezt sem azért írjuk meg, mert technikai szempontból olyan különleges lenne, sőt, ellenkezőleg. Egy rémesen egyszerű hiba miatt szívhatnak most sokan, ez az eset tanulságához hozzá tartozik. 

Történt ugyanis hogy egy a Pannon Egyetem egy informatikusa a kollégiumi jelentkezésekkel kapcsolatos, Neptun tanulmányi rendszerből származó személyes hallgatói adatokat ki tudja, hogy miért, egy webkiszolgáló publikus webmappájába helyezte el. Úgy konkrétan a hallgatói adatokat tartalmazó SQL-adatbázis ún. dumpját, ami gyakorlatilag egy sima szöveges fájl.
Nem tudjuk, hogy valaki túltengő humorérzékének megcsillogtatásaként linket helyezett el valahova, ami a fájlra mutat vagy az Apache beállításaiban a jó öreg Indexes direktíva nem volt tiltva, ami arra utasítja a webszervert, hogy egy webmappában ne mutasson formázott könyvtárlistát, ha az nem tartalmaz valamilyen index-fájlt vagy éppen igen. [Leggyakoribb Apache-beállításbeli ergyaságokról egy későbbi cikkünkben regélünk majd.] Bárhogyan is történt, a Google nem csinált semmit, csak tette a dolgát és felzabálta reggelire az SQL-dumpot a benne lévő személyes adatokkal együtt.

Az esetet közzétevő  szerint a fájl fél éven keresztül bárki által fellelhető volt a neten. Ha számba vesszük azt, hogy 6000 felhasználó személyes adatáról van szó, gyakorlatilag biztos, hogy néhányan teljesen véletlenül is rátaláltak valakinek a nevére keresve, ahogyan az is szinte biztos, hogy a "rendszergazdazseninek" legalább néhányan szóltak már, hogy ez így eléggé ciki.

Arra, hogy hogyan maradhatott ennyi ideig csöndben a dolog mindezek ellenére, az egyetlen valószínű magyarázat annak a hiedelemnek a masszív jelenléte, ami szerint mindenki úgy gondolja "az én adataimra senki sem kíváncsi", különben már rég meglincselték volna a felelősöket. Egyrészt Magyarországon az adatkezelési gyakorlat iszonyúan gyatra, ami abból adódik, hogy az alkalmazottak csak akkor fogják komolyan venni, így betartani az adatkezeléssel kapcsolatos házirendet, ha megértik annak a hátterét. (Mitnick et al.) Adatkezelői oldalról, ennek fényében azt lehet mondani, hogy súlyos hibát követett el a Neptun fő adminja is, hiszen nem figyelt oda rá, hogy milyen hülyék férhetnek hozzá potenciálisan az adatbázishoz.

Felhasználói oldalról a dolog azért aggályos, mert ahogy az sokaknak eszébe jutott, a felhasználók hiába tudják, hogy minden helyen más jelszót kellene használni, sokan mindenhol ugyanazt a jelszót használják kényelemből. Így akiknek a jelszavát valaki innen megszerezte, szerencsétlen esetben hozzáférést kapott egyben az összes olyan szolgáltatáshoz is, ami az adott hallgatóhoz köthető. Úgy, mint e-mail postafiók (ahova általában jelszóemlékeztetőket is lehet küldeni!), közösségi oldalak accountja, személyes blog, stb.

További probléma, hogy a Magyar Köztársaság területén még egy kirívóan nagy informatikusi gondatlanságnak sincs visszatartó jogkövetkezménye. (Egyes országokban pedig egy-egy sikeres hekkelés után az intézménynek a saját költségén kell újságokban hirdetniük, hogy milyen hülyék voltak! – pl. Csehország, USA egyes államai) Magyarországon a többségnek nem az jut eszükbe, hogy milyen idióta rendszergazdájuk volt, inkább az az első gondolat, hogy az adatlopó vagy behatoló disznóságot követett el, fuj-fuj, az adatkezelő felelőssége ehhez képest háttérbe szorul.

Amikor múltkor iratkoztam be országunk egyik óriáskönyvtárába, a beiratkozási lap kitöltése után belegondoltam, hogy annyi információ alapján, amit felírtam, akárki tilthatná a mobilomat, az internetkapcsolatomat, megcsapolhatná a bankszámlámat, hiszen ha egy telefonos ügyfélszolgálaton keresztül valaki ügyfélbiztonsági kóddal nem tudja azonosítani magát, az esetek többségében lehetőség van arra is, hogy az ügyfél személyes adatok alapján igazolja önmagát. Amikor ezt – persze kevésbé kackiásan – bedobtam az ismerős könyvtárosnak, a válasz az volt, hogy tőlük márpedig senki sem fog telebankolni a nevemben. A hölgynek meg sem fordult a fejében, hogy nem is rájuk gondoltam. Ugyanis az adatok rögzítése után a beiratkozási lap iratmegsemmisítés nélkül landol a kommunális hulladékba, ahonnan akárki kipecázhatja. Ezen kívül meggyőződésem, hogy a jó öreg telefonos trükkel is ki lehetne csalni a könyvtáros néniből például a személyi igazolványom számát. Persze annál jobban siettem, hogy ennek a magyarázatát egyáltalán elkezdjem. Az biztosra vehető, hogy mindenhol legalább 1-2 embernek nagyon meg kell szívnia ahhoz, hogy megint másokat seggbe rúgjanak, aztán ennek eredőjeként ténylegesen változzon a helyi IT-biztonságpolitika. Ilyen szempontból talán az élen jár a Pécsi Tudományegyetem, aminek az egyik karán közszemlére amolyan hülyetáblára kiírják azoknak a hallgatóknak a nevét, akik a jelszavukat másnak átadták, fájlmegosztót használtak vagy egyéb módon veszélyeztették az egyetemi hálózat felügyelhetőségét, biztonságát. Az egyetemek többsége hozzájuk képest nem kis lemaradásban van. Sokszor fényévekkel.