Adataink a neten

Avagy amikor a rendszergazda csak egy kicsit hibázik.

A http://jezusszive.crpl.hu/a-fantasztikus-neptun-es-uzemeltetoi/ linken blogoló JSZP hozta napvilágra a Pannon Egyetem kollégiumi rendszerében történt adatszivárgást. A jelek szerint a tudomásunkra jutott esemény tökéletes iskolapéldája, mondhatni állatorvosi lova az információbiztonságnak.

1. esemény: az adminisztrátor készít egy adatbázismentést, amit utána feltölt egy publikusan elérhetÅ‘ könyvtárba, amit a Google elér. Nem egyedi, próbálkozzunk csak meg a "phpMyAdmin SQL Dump" inurl:sql site:hu Google kulcsszóval. Ez az információszerzés legegyszerűbb módja, semmit nem kell hackelni.

2. esemény: az adatbázisban nem kódolják a jelszavakat. Tipikus programozói trehányság, hogy nem az MD5 hash-t, hanem a kódolatlan szavakat helyezik el az adatbázisban. Ez olyannyira tipikus, hogy vegyük tudomásul: ha egy jelszót beírunk portálra, az olyan, mintha mindenkinek a tudomására hoztuk. Ebben akkor lehetünk igazán biztosak, ha a regisztráció utána a szolgáltató e-mailben visszaküldi a jelszavunkat...

3. esemény: elgondolkodtató a személyes adatok kezelésének a módja. Vajon hozzájárultak-e az érintettek ahhoz, hogy a kollégiumi rendszerbe átvigyék a Neptunban jogosan tárolt adataikat? Az adatkezelési szabályzat hiányában errÅ‘l véleményt nem tudok mondani, de megérne egy vizsgálatot.

Összességében egy remek példa arra, hogy mi történik nap, mint nap az általunk kiszolgáltatott információkkal. A napokban került nyilvánosságra, hogy 21 millió német állampolgár adatát lehet megvásárolni (http://www.hirszerzo.hu/cikk.rovidhir_adatvedelmi_riado_nemetorszagban.89912.html). Vajon hány magyar állampolgár lehet érintett hasonló adatszivárgási eseményekben?

 

Krasznay Csaba

információbiztonsági tanácsadó