Situace kolem incidentu zabezpečení dat na univerzitě v Panonii, která v dnešní době rozvíří spoustu prachu, nabírá stále zajímavější obrátky.
V pondělí bylo v tisku poprvé oznámeno, že univerzitu v Panonii zasáhl vážný incident zabezpečení dat, během kterého byly osobní údaje mnoha studentů zveřejněny na internetu. Znamenalo to také, že na World Wide Web lze najít databázi, a to i za pomoci Googlu, která tam vůbec neměla být. Poté, co se případ dostal na povrch, se ukázalo, že databáze obsahuje jména těch, kteří se zapsali na kolej pro akademický rok 2007/2008, kód Neptuna, heslo použité na webu pro přijetí na koleje, číslo občanského průkazu, banka číslo účtu, adresu domova atd. obsažené.
Univerzita v Panonii zahájila interní vyšetřování, ale - podle našich aktuálních informací - se zatím nehlásila policii. Policejní ředitelství Veszprém naopak zahájilo vyšetřování neznámého pachatele z vlastní kompetence kvůli důvodnému podezření na porušení počítačového systému a dat.
Tento týden vyšla najevo spousta různých informací o tom, co se přesně na univerzitě stalo. Nejprve blogger známý jako RaszP upozornil na to, co se stalo, načež bylo na pozadí případu možné podezření na administrativní opomenutí nebo chybu. Potom později studentská vláda o případu rozeslala dopis. To lze stále přečíst na mnoha místech na internetu, ale my to nezveřejňujeme, protože to vidíme jako další zvýšení zranitelnosti studentských dat. E-mail uvádí, že hesla byla změněna nejen v kolejním systému, ale také v Neptunu. To by ani nebyl problém, protože mnoho studentů používá stejné heslo pro různé systémy. Dopis HÖK však také odhaluje, že vstoupila v platnost automaticky generovaná hesla, která lze s velkou šancí dešifrovat pomocí informací v dopise a mimo jiné prohledávat různé webové stránky pro budování komunity, alespoň dokud si studenti tato hesla nezmění .
Po dopise HÖK následovalo oficiální prohlášení, ve kterém rektor informoval o tom, co se stalo, a popsal závěry dosud provedených vyšetřování:
"Nedávno došlo k útoku na server kolejí Univerzity v Panonii, který obsahoval údaje o kolejních přihláškách studentů kampusu Veszprém v dočasně uloženém souboru." Vetřelec na serveru během hackingu odstranil bezpečnostní soubory, čímž byla databáze přístupná neoprávněným osobám přes internet. Jakmile to bylo odhaleno, správce okamžitě přijal nezbytná bezpečnostní opatření a okamžitě zajistil, že data již nebudou k dispozici neoprávněným osobám. Daný soubor dat pochází z dočasné zálohy dřívějšího stavu aplikace elektronické koleje Veszprém Campus. Databáze obsahuje pouze zlomek údajů o studentech poskytnutých internetovými zpravodajskými portály, ale to nemá vliv na závažnost případu. “
Rektor uvedl, že dotyčný kolejní systém je studentům k dispozici pouze jeden měsíc za akademický rok, a to v období podávání přihlášek na kolej. Dodal, že „ještě před incidentem bylo rozhodnuto, že University of Pannonia bude chtít věnovat značné dodatečné finanční zdroje na zabezpečení svých IT systémů a ochranu před vnějšími útoky“. Ve světle událostí se zdá, že toto rozhodnutí bylo poněkud opožděné, ale je také snadné si představit, že případné lidské opomenutí nemohlo zabránit incidentu bez vážnější technické ochrany. To zase zvyšuje bezpečnostní mezery v bezpečnosti. Žádné další oficiální informace o údajném vetřelci a jeho aktivitách zatím bohužel nejsou.
Víme, že ke konkrétnímu bezpečnostnímu incidentu došlo 20. září, takže stále musíme zjistit, co se s daty stalo během několika posledních týdnů a proč se incident právě objevil. Jakmile se objeví další relevantní informace, budeme o nich samozřejmě informovat.
