Az adatvédelmi biztos is vizsgálja a veszprémi adatvesztést

A veszprémi Pannon Egyetemen történt adatvesztéssel kapcsolatban már az adatvédelmi biztos is vizsgálatot indított. Dr. Jóri András egyrészt maga kezdeményezett vizsgálatot hivatalból, és a biztoshoz két beadvány érkezett az ügyben - tudtuk meg Dr. Trócsányi Sárától, az OBH vizsgálati főosztályvezetőjétől. A Pannon Egyetem szerint már nem biztos, hogy rendszerbetörés miatt került sor az adatvesztésre, és noha korábban ennek ellenkezőjét közölték, még mindig zajlik az ügyben a vizsgálat - tudtuk meg tegnap Orosz György kommunikációs igazgatótól. Az intézményben jelenleg azt is vizsgálják, hogy vezethetett-e egy rendszergazda gondatlansága az 1717 hallgató személyes adatait tartalmazó fájl internetre kerüléséhez.

Az év egyik legnagyobb hazai adatvesztési botránya a hét elején robbant ki, amikor a Jézus Szíve Partizánbrigád blog szerzője, a RaszP néven publikáló Vigh István beszámolója nyomán kiderült: több ezer egyetemi hallgatói e-mailcíme, azonosítója és személyes adatai szivárogtak ki az intézmény egyik szerveréről. A blogger azt állította, hogy a netre több mint 6000 diák adatai kerültek ki egy fájlban, később az egyetem azt közölte, hogy csak 1717 hallgatót érintett az eset. A Pannon Egyetem kollégiumi szerveréről a hallgatók neve, lakcíme, édesanyjuk neve, e-mailcíme, személyigazolvány-száma, bankszámlaszáma és az egytemi informatikai rendszerben (NEPTUN) használt azonosítója, valamint a kollégiumi jelentkezési rendszerben használt jelszava szivárgott ki.

Ellentmondásos nyilatkozatok

Vigh István az intézmény rendszergazdáját tette felelőssé az adatvesztésért, míg az egyetem szerint egy rendszerbetörés miatt válhattak illetéktelenek számára elérhetővé az adatok. Orosz György kedden még úgy tájékoztatta lapunkat, hogy az egyetemi szervert szeptember 20-án érte támadás, ennek következtében kerülhettek ki az adatok a netre, ahol kint is voltak egészen december 7-ig. Az igazgató ezzel szemben csütörtökön kérdéseinkre válaszolva már azt állította: egyáltalán nem biztosak benne, hogy támadás történt, elképzelhető, hogy állomány az egyetem valamelyik alkalmazottjának hibájából kerülhetett ki a netre, mint ahogy azt a blogger feltételezi.

Orosz György kérdésünkre válaszolva azt is megerősítette, hogy az adatok valóban a www.vekoll.vein.hu/~dodver elérési útvonalon található könyvtárból szivárogtak ki, mint ahogy arról Vigh is beszámolt. Az adatvesztésről elsőként hírt adó blogger ebben a mappában találta meg hallgatók adatait tartalmazó netfuggo.sql nevű adatfájlt és az egyik kollégiumi rendszergazda, Marton Gábor önéletrajzát. Ebből a Vigh arra következtetett, hogy a tárhely Martonhoz tartozik, és a blogon kommentelő egyetemisták is őt azonosították, mint a kollégiumi rendszer adminisztrátorát. Az informatikust mi is szerettük volna megkérdezni az ügyben, de nem kívánt nyilatkozni.

A Google őrzi a nyomokat

A nyilvános mappában tárolt adatokat Vigh egy webkeresés során találta meg, és, mint arról mi is meggyőződhettünk, a Google ezeket 2008. október 18-án indexelte be. Miután a tárhelyet december 7-én titkosították, a fájl tartalma egy ideig elérhető volt a keresőn keresztül: a Google által elmentett változatban a JSZP szerzője és kommentelői szerint annak első 200 sora szerepelt. A fájlt valamivel később törölték a cache-ből, amit valószínűleg a www.vekoll.vein.hu webmestere tehetett meg, mivel a szájtok gazdájának a Google webmester-eszközeivel lehetősége van erre.

Az adatvesztést okozó "dodver" könyvtár tartalomjegyzéke szerdán még elérhető volt a Google cache-ben, ennek képernyőmentése szerepel az alábbi képen. Orosz György elmondása szerint a jelenleg is zajló vizsgálat egyik célja annak megállapítása, hogy a könyvtár titkosítva volt-e egyáltalán, vagy tényleg egy külső támadás következtében vált elérhetővé a neten, ahogy korábban állították. Egy, a JSZP blog által is idézett e-mailben a kollégiumi levelezőlistán egy egyetemista azt állította, hogy a mappát már korábban is nyilvánosan el lehetett érni. (Csütörtökön már mind a levelezőlista, mind a kollégum honlapja elérhetetlen volt.)

Ahonnan az adatok kikerültek: a listát még őrzi a Google

Az adatvesztés vagy adatszivárgás manapság mindennapos eseménynek számít. Adatvesztésre leggyakrabban az adathordozóval együtt kerül sor: a cégek, hivatalok alkalmazottai rendszeresen hagynak el CD-ket, DVD-ket, pendrive-okat vagy laptopokat, fontos állományokkal. A Pannon Egyetemen történtekhez hasonló adatszivárgás legutóbb idén ősszel történt a göttingeni egyetemen, ahol egy rosszul beállított szerver okozta a problémát - emlékeztetett Fehér Tamás, a 2F Kft. vírusszakértője.

Rendszerint hanyagság vezet hasonló adatvesztéshez

Adatvesztésre az esetek több mint 50 százalékában valamilyen személyes mulasztás miatt kerül sor - mondta el az eset kapcsán Gombás László, a Symantec biztonsági cég vezető rendszermérnöke. Ilyenkor nem feltétlenül egy ember lehet a hibás: a cégeknél tipikus eset, hogy egy adatbázis kezelésére jogosult személy készít egy, a mostani egyetemi fájlhoz hasonló mentést, majd azt valaki más teszi ki nyilvánosan hozzáférhető helyre, ahonnan az kiszivároghat.

A szakember szerint az adathalászathoz kötődő feketegazdaságban 50-250 dollárt, vagyis 10-50 ezer forintot ér egy-egy személyes adat. Ennek alapján a több ezres egyetemi adatbázis igen jó "fogásnak" számít a szakmában, nem is beszélve a tulajdonosoknak okozott kárról, és a személyes okmányok cseréjéről, a bankszámlaszám megváltoztatásáról. A tavalyi évben felfedezett 720 ezer kártevő több mint fele adathalászat céljából készült - tudtuk meg a szakembertől.

A blogger is hibázott

Az adatvesztés okozóját gondatlanság esetén is ugyanolyan felelősség terheli, mintha szándékosan élt volna vissza a személyes adatokkal, és az egyetemet csak az mentené, ha bizonyítható, hogy elháríthatatlan külső okból történt az eset - tájékoztatott minket még szerdán a Dr. Trócsányi Sára. Az adatvédelmi biztos hivatalának főosztályvezetője szerint nehezen megítélhető, hogy a bíróság ebben az esetben ilyen külső oknak minősítené-e a rendszerbetörést, amit korábban az egyetem az adatvesztés okaként jelölt meg.

A szakember szerint az eseményről hírt adó blogger is visszaélést követett el. Vigh István akkor járt volna el jogszerűen, ha a birtokába jutott adatbázist átadja a hatóságoknak, a saját gépéről pedig törli azt, mivel jelen esetben semmi nem indokolja, hogy megőrizze a személyes adatokat tartalmazó állományt.

Az egyetem vezetése, úgy tudjuk, mindeddig nem lépett kapcsolatba az esetről hírt adó bloggerrel, az intézményben a vizsgálat várhatóan egy héten belül ér véget. A Pannon Egyetem még nem tett rendőrségi fejlelentést az ügyben, Orosz György szerint ez a vizsgálat eredményének függvényében történik majd meg. A Veszprémi Rendőrkapitányság saját vizsgálatát követően kezdett nyomozásba szerdán, jelenleg mind az egyetemtől, mind a veszprémi rendőrségtől várjuk az ügyben a további tájékoztatást.