A vehir.hu által is figyelemmel kísért, feltehetően felelőtlenségből eredő veszprémi adatszivárgás eltörpülhet ahhoz az ügyhöz képest, melyről az ITcafé – több hazai médiával együtt – hétfőn délután egy elektronikus levélből értesült.
„Üdvözletem. Csatolva a Pannon Egyetem neptunkódjainak és jelszavainak egy része, diákoké, tanároké(!). Gondolom van nemi hírértéke a dolognak a tavaly év végi adatkikerülési ügy kapcsán.
Szeretnem leszögezni, hogy a csatolt adatokat jelen levél címzettjein kívül nem osztottam meg senkivel, az adatok birtoklásából nem származott anyagi előnyöm, a szerveren semmilyen módosítást nem hajtottam végre, valamint jelen levél elküldése után az adatokat töröltem a számítógépemről.
Tájékoztatásul közlöm, hogy a levél fejlécében található e-mail cím tulajdonosának semmi köze ehhez a levélhez (gyk. nem ő a feladó), így ne válaszoljanak, mert nem jut el hozzam.
Szép napot.”
A levél mellékleteként az ITcafé szerkesztőség két táblázatot kapott, melyek közül az egyik a Pannon Egyetem körülbelül négyszáz hallgatójának, a másik 27 tanárjának a Neptun-rendszerben használt azonosítóját, jelszavát, e-mail címét, valamint valódi nevét tartalmazza – legalábbis a levél írója szerint. Ez az egyik legsúlyosabb fajtája a biztonsági incidenseknek, hiszen a tanári jelszavak tanulmányi adatok módosítására adnak lehetőséget, s a hallgatói adatok is komoly visszaéléseket tesznek lehetővé.
A levél érkezése után az internetes napilap szerkesztői felvették a kapcsolatot a Pannon Egyetemmel, tájékoztatták az informatikai vezetőt és a rektort a történtekről. A betörés tényét egyelőre senki nem erősítette meg, de nem is cáfolta. A rendszer fejlesztője, az SDA Stúdió Kft. tájékoztatta az ITcafét, hogy a Neptun rendszerből jelszavak nem kerülhettek ki, mivel a rendszer nem tárol jelszavakat.
A napilaphoz beérkező visszajelzésekből úgy tűnik, a levélben szereplő kódok, jelszavak már régiek, néhány évvel ezelőttiek, ám akad köztük adminisztrátori jelszó is, mely ha működik, további adatokhoz vezethet el.
A Neptun fejlesztője, az SDA Stúdió Kft. nyilatkozata
Az ismeretlen által megküldött fájlban szereplő adatok nem származhatnak a Neptun.Net 3R tanulmányi rendszerből, mivel a rendszer fizikailag nem tárolja a felhasználók jelszavait.
A Neptun.Net tanulmányi rendszer egy piacvezető korszerű háromrétegű alkalmazás, amely a felhasználók jelszavait nem, csak a jelszavak hash-ét tárolja, azt is még ezen kívül is továbbkódolt formában. Ez azt jelenti, hogy a rendszer a jelszó megadásakor egy egyirányú matematikai algoritmussal lenyomatot készít a felhasználó által begépelt jelszóról és csak ezt a kódot (hash) tárolja, illetve hasonlítja össze az adatbázisban szereplő korábbi lenyomattal. A további kódolás eredményeként ez a lenyomat akkor is különbözik a különböző felhasználóknál, ha esetleg egyforma jelszót használnak. Ennek következtében a Neptun rendszerből a felhasználói jelszavakat nem lehet visszanyerni, így azokkal ilyen módon visszaélni sem lehet.
Nagyon sajnáljuk, hogy időről időre – feltehetően üzleti okokból – ismeretlenek hamisan azt állítják, hogy hozzájutottak a Neptun rendszerből származó jelszavakhoz, de ez a fenti okok miatt fizikailag sem lehetséges.”
Még mindig nem tudni, hogy a levél küldője hogyan jutott az adatokhoz, elképzelhető, hogy hasonló eset történt, mint tavaly, amikor feltehetően (a vizsgálat még nem zárult le) a kollégiumi rendszer hiányosságai, illetve személyes felelőtlenség vezetett adatszivárgáshoz. Az eddigi jelekből úgy tűnik, senkinek nincsenek az adatai közvetlen veszélyben, s még az is bizonytalan, hogy nem manipulált adatsorral állunk-e szemben.
