https://telex.hu/belfold/2024/08/05/rendorseg-sajtotajekoztato-neptun-c…
A sajtótájékoztatón elhangzottak szerint 2023 novemberében több magyar egyetem hallgatóinak Neptun-fiókjába is bejuthatott J. Gábor, egy magyar állampolgárságú csaló, aki így hónapokig gond nélkül hozzáférhetett hallgatótársainak adataihoz. 2024 januárjában, a tanulói ösztöndíjak kifizetésekor derült csak ki, hogy az elkövető ki-be járkálhatott a hallgatók fiókjába. A rendőrség közleménye szerint a csaló 2024. február 14. és március 13. között belépett több oktató és közel száz hallgató felhasználói fiókjába.
Na akkor most "bejuthatott" meg "hozzáférhetett" csak, vagy akkor ténylegesen "belépett"? Nagyon nagyon nem mindegy, előbbi feltételes mód (jogilag kísérlet csupán), utóbbi kijelentő, múlt idő (jogilag bűncselekmény tényállása állott fennen vala).
A másik meg, jajj, de jó, hogy ilyen hozzáértők kezelik az ÖSSZES egyetemista ÖSSZES személyes adatát (szarkazmus)!
Nemcsak hogy törhető, de HÓNAPOKIG észre sem vették, hogy valaki felnyomta a rendszerüket.
Hozzászólások
1. Az ifjú titán nem hacker, csak amolyan script kiddie.
2. az ilyenek pedig rendszerint csak a legalja bűn rossz rendszereket, valamint a totál tudatlan és naív felhasználat tudják kijátszani.
> a totál tudatlan és naív felhasználat tudják kijátszani
Ha egy intezmeny bevezet egy IT-rendszert, es az ugyvitelt kotelezoen csak azzal lehet intezni, akkor kotelessege minden felhasznalo edukalasa, illyetve technologiai intezkedesek (pl ketfaktoros authentikacio, forgalom es loginek monitorozas es szures, nagy szamu anomalia, pl azonos kulfoldi IP-rol tobb fiok, stb eseten egy operator riasztas) bevezetese. Baromira nem mentseg az, hogy a felhasznalo hulye volt.
mint latjuk a netbankoknal, a 2fa es az edukacio sem segit a hulyeken. egyszeruen legyozik a rutinjukkal.
> egy intezmeny bevezet egy IT-rendszert
ami kotelezoen a fos "allami" neptun kell legyen, amihez semmilyen hozzaferest nem kap az intezmenyi IT...
> Nemcsak hogy törhető
en azt hamoztam ki belole hogy sima egyszeru adathalaszat volt, csinalt egy kamu neptun login weboldalt es oda csalta a buta diakokat valahogy, azok meg amilyen hulyek beirtak oda a jelszavukat. aztan belepett a diakok neveben az o jelszavukkal es atirta a szamlaszamot. szoval nem tortek semmit, csak megtevesztettek...
amugy kinek kellett volna ezt es hogy eszrevennie? ha rajtam mulna talan monitoroznam az adatmodositasokat ahogy anno a zimbranal megcsinaltam, miutan megfigyeltem hogy az adathalaszok belepes utan atirjak a felado nevet/cimet, igy eleg volt arra riasztast csinalni, es ha nem magyar ip-rol tette mindezt akkor automatikus tiltas az accon. de a neptun egy zart ganyolmany by sda studio, ebbe nem lehet belenyulkalni sehogy (legalabbis nem engedik).
Küldhetne a rendszer egy nagyon szofisztikált emailt, ha megváltozott a számlaszám, ráadásul 2 napig nem enged az újra utalni. Email cím változtatáskor küldhetme a rendszer egy másik szofisztikált levelet a régi címre is. + 10 sor lenne egy rendes kódbázisban, email template-tel együtt.
vagy inkabb ne is engedne online atirni a szamlaszamot, beiratkozaskor adja meg aztan ha valamiert valtozik a tanulmanya alatt akkor befarad a TO-ra es atiratja az adminisztratorral.
> 10 sor lenne egy rendes kódbázisban
mivel ugyanaz a kodbazis mint a kreta, ez felejtos :)
A "hacker" felszínes "munkát" csinált és lebukott.
Az üzemeltető felszínes "munkát" csinált és lebukott.
Kicsi huszárt megrángatják, a rendszerek üzemeltetőit nem, és minden megy tovább mintha mi sem történt volna.
A srácot megrángatják, de nem lesz böri. Ebben az országban ilyenért soha senkit nem ítéltek el, mivel a bíróságnak sem jogilag, sem értelmileg nincs rálátásuk a dologra. Egy felfüggesztettel megússza. Ha gyilkolt vagy esetleg áramot lopott volna (mint LagziLajcsi) akkor talán kapna letöltendőt, de az esetek többségében semmi.
> Ha gyilkolt vagy esetleg áramot lopott volna
vagy bkv berletet vett volna...
Lajos szerintem valakinek a tyúkszemére lépett, a villanypásztor másodállás max. ürügy.
Vortex Rikers NC114-85EKLS
Ez ellen mondjuk a 2FA védene, ha más nem az adatmódosításra. (2FA és Neptun... najó abbahagyom mielőtt elröhögöm magam...)
Az igazi baj az, hogy azért nem bukhatott ki hónapokon át, mert az emberek sajnos teljesen hozzá vannak szokva, hogy a neptunban random dolgok csak úgy "történnek" az adataikkal. 4-5 ilyen "random elromlik majd random megjavul", esetleg be kell menni a tanulmányi hivatalba, hogy javítsák már vissza az elcsesződött adatot, és máris nem gyanakszik senki, hogy a 6. alkalom támadás lenne.
Amíg nem olvastam a cikkben, hogy phishing oldalt csinált a csóka, addig azt hittem a régi szokásos: "a biztonsági incidens miatt mindenkinek visszaállítottuk a jelszavát a születési dátumára" c. történetet használta ki valaki.
Régóta vágyok én, az androidok mezonkincsére már!
> visszaállítottuk a jelszavát a születési dátumára
1x lattam par hallgato neptun jelszavat, hat szotarral a 90%-uk torheto lenne 5 perc alatt... 123456 asdfgh keresztnev becenev szuletesidatum stb... gondolom meg egy rendes jelszo policy sincs benne.
persz evannak perverzek is 30 karakteres jelszoval tele magyar ekezetes karakterekkel aztan csodalkoznak hogy a radiusos wifi auth nem engedi be vele :)
Az is szép rendszer, ahol látható a tényleges jelszó, nemcsak a hash :) Persze van olyan hely, ahol az a policy, hogy az előző jelszótól legalább N karakterben kell eltérnie...
Régóta vágyok én, az androidok mezonkincsére már!
nem lathato, csak epp debuggoltunk egy wifi radius auth hibat es a wiresharkban latszodtak az epp akkori loginek... de ez 10+ eve volt, lehet azota javult a helyzet
Miért különleges, hogy 6 szótárral törhető?
hat mert aki hatokor az 6almas okorsegeket tud jelszonak beallitani ;)
Egyébként van, ahol bő féléve bevezették, a használata kötelező, enélkül nem tudsz belépni sem.
A kürtőskalács egy nagy lyuk, tésztával faszán körbetekerve.
Először majdnem rávágtam, hogy biztos akkor vezették be (ez év február, pont 6 hónapja), mikor ez az ügy kiderült, de a linked szerint a SZIE-n már tavaly októberben bekapcsolták.
Nem tudom melyik a cikibb. Az se szép, hogy a lehetőség már megvolt, csak sok intézményben csesztek használni.
Régóta vágyok én, az androidok mezonkincsére már!
(Csak a pontosság kedvéért: SZE: Széchenyi István Egyetem, SZIE: Szent István Egyetem, előbbit linkeltem.)
A kürtőskalács egy nagy lyuk, tésztával faszán körbetekerve.
Ja, bocs benéztem a linket. :)
Régóta vágyok én, az androidok mezonkincsére már!
ELTE tavaly december elején.
Mutyiország királya egy őszes úr, kit mindenki becéz.
zrubi.hu
“az egyetem hallgatóinak küldött adathalász üzenet segítségével megszerezte”
Innentől ismét az van, hogy akárkit akárhogy is becéznek hófehér hajával, a sértett térfeli emberi tényező nagyon gyenge láncszem, s ez nem változott az évitezedek alatt. Ha csinálok egy kamu oldalt amit a böngésző vagy a védelem (még) nem jelez, s ráveszlek egy primitív levélcímről küldött levéllel az adataid ottani beírására akkor azt elbasztad. Valaki gecchi volt, de akkor is elbasztad.
Csak ezt sem olvassátok el, hanem “zoúrbán zoúrbánh”! És ezzel el ki is veszitek az élét mindennek, aminek nem kellene. Olvassatok először pls.
Szóval úgy tűnik nincs felnyomás, és ezt nem nagyon lehet észlelni amíg a felhasználó nem jeleni a baját.
Vortex Rikers NC114-85EKLS
És ezt a trivialitást amit ideírtál nem tudták a szoftver fejlesztői (vagy tudták csak nem foglalkoztak vele). Igenis van felelőssége a szoftver gyártójának akkor is ha kamu oldallal történt a csalás mert ma már ezek ellen többféle védekezési lehetőség is van...
Egy ilyen rendszer esetén kérdédes, hogy a specifikációt ki adja, dobozos vagy megrendelésre készült.
Lehet a fejlesztőnek eszébe jutott volna ez a kockázat (bár nem az ő dolga ez), de ha konrétan nem kérik vagy ezt a kockázatot olyan szintre értékelik, amivel nem kell/érdemes foglalkozni, akkor pont le fogja sz.rni.
Ez teljesen igaz, de továbbra sem lehet csak és kizárólag a felhasználóra helyezni a felelősséget. Azon lehet vitatkozni, hogy a megrendelő vagy a fejlesztő volt-e nagyobb kutyaütő. :)
Azért pár vészcsengőnek meg kellett volna szólalnia mind megrendelői mind fejlesztői oldalon amikor tele van a rendszer személyes adattal meg banki utaláshoz használt számlaszámmal...
Ez az adatkezelő és /vagy az adatfeldolgozó felelelőssége, hogy a kezelt adatok besorolásnak megfelelően, kellő gondossággal járjon el.
Aki csak a szoftvert gyártja/fejleszti nem kell, hogy nagyon pörögjön ezen. Azt csinálja, amit kérnek tőle. Ő nem lesz kutyaütő ebben a történetben.
Szerintem.
ez ugy altalanossagban igaz, de a neptun eseteben nem a zvan, hogy az egyetem specifikalja mit szeretne es lefejlesztik nekik, hanem az sda studio kitalal valamit belefejleszti aztan lepusholja az egyetemek torkan ha kerik ha nem.
Azért biztosan nem így van, hogy a fejlszető "kitalál" valamit....
Ez a dobozos szoftverekre van csak így, de ott is az adavédelmi felelősség azé, aki hasznája adott célra, a fejlesztőé csak az üzleti felelősség, ha olyat készít, ami nem felel meg az adatkezelőknek/feldolgozóknak és emiatt nem veszik, akkor beborul.
Azt el tudom képzelni, hogy egy-egy egyetem úgy érzni nem kérdezik meg őket...bár azt is el tudom képzelni, hogy a legkisebb bajuk is nagyobb ennél + "az államot" büntetik meg ha gond lesz és emaitt le is sz.rják, de ettől függetlenül valaki csak lead valami igényt, amit lehet árazni és utána a teljesítésin aláiratni.
És a Neptun nem egy dobozos termék? Itt van egy szerződés pl: https://kozbeszerzes.uni-nke.hu/document/kozbeszerzes-uni-nke-hu/neptun_szerzodes.pdf
Ez elég dobozosnak tűnik, igaz a 120. pontban kizárják a felelősségüket:
Pont ezt írtam, max üzleti kockázata van a fejlesztőnek dobozos esetén, egyedinél meg annyi se.
De. Sajnos így van. arpi_esp-nek van igaza. Már 20 éve is így volt, hogy az SDA tolta le az "okosságait", az egyetemek meg próbálták lenyelni az "ipari szemetet".
Lásd: 3R bevezetése körüli anomáliák.
Volt olyan egyetem, aki úgy próbált menekülni, hogy ETR-t használt.
Volt olyan egyetem, aki a teljes Neptun üzemeltetést odaadta az SDA-nak. Ezáltal minden üzemeltetési feladat és kockázat, felelősség az SDA-hoz került. Persze ezt jó zsírosan le is számlázta az SDA az egyetemeknek, főiskoláknak. Kötbér, mert az SDA hibázott? Ugyan már, hová gondolsz....
Szóval nincs új a Nap alatt. SDA az SDA maradt.
Ha ő üzemeltet, akkor már más a képelet - adatfeldolgzó lesz belőle - felelőssé tehető adatvédelmi dolgokért.
Ameddig "csak" fejleszt, nem. Joga van minden fejlesztőcégnek szar, nem biztonságos dolgokat feljeszteni. Szoktak is :-)
Kiválasztani, megvenni és használni/használtatni - az már más.
Aztán annyi pénzt kértek ETR-ért ami miatt Neptunra váltottak.
És az megvan, hogy az ETR-ért miért kértek annyi pénzt?
A teljes történet sokkal mocskosabb, mint ahogy az ember gondolná.
en mar nem emlexem a reszletekre, csak arra hogy valahogy kinyirtak, hogy mindenki neptunra menjen (minket nem erintett, mivel kb neptun betatesztelok voltunk mar 20+ eve is, amikor meg 100 milkaba kerulo hp szervereken se birt el 100 usernel tobbet)
Figyelj már, ha ráveszlek egy kamu hup-on a neved jelszavad beírására, majd ezekkel bejelentkezek a nevedben az igaziba, minden szart átírok, az üzemeltető honnan fogja ezt tudni?
S amikor majd megtudja tőled a sztorit, s azt, hogy részben a te naivitásod miatt idegen baszkódott a rendszerén, akkor vajon meg fog dícsérni? Értem a felelősséget, értem a védekezés lehetőségét, értem még a “mindenki hibás csak az user nem” naivitást is, de sajnos itt a felkészületlen ember az egyenlet szerves része, khmm.. igen hangsúlyosan. Ha 2FA akkor is megcsinálják, hiszen a telefonodról is viszik a tokent: aki bejelentkezik egy másolt oldalra az a telefonra is jó eséllyel fel fog telepíteni egy linkben kért szart.
Vortex Rikers NC114-85EKLS
a HUP nem kezel minősítetten védett személyes adatokat, csak a belépéshez szükségeseket, a többi megadása opcionális.
Azonban az iskolai rendszerek ez esetben minden személyes adatot és bankszámlaszámot, valamint esetenként jegyeket és bizonyítványokat is tárol (tehát bizalmi szolgáltatást nyújt), amik módosítása akár egy tanuló egész életét is gajjra vághatja. Tehát igenis kötelessége az adatok védelmére, valamint a behatolás megelőzésére és kiszűrésére törekednie, valamint mindent apró szarságról is az ügyfeleket értesítenie. Aztán ha beüt a gebasz, vállalnia a felelősséget.
De a kérdés, hogy pontosan kinek.
Az adakezelőnek, adatfeldolgozónak vagy egy "random" fejlesztő cégnek, aki kapott egy megbízást valamire és azt a speckó alapján leprogramozta.
Nagyon nem ugyanaz a kettő....
Kezdjük ott, hogy a hup-on nincsenek számlaszámok ahova ösztöndíj utalás megy. Ide nem létszükséglet az MFA. Egy olyan rendszerbe ami tele van személyes adattal, banki utaláshoz használt számlaszámmal talán többet illene tenni mint egy szakmai fórumon...
Okés, kezdjük ott, jogos (bár jogi értelemben szerintem nem teljesen). Folytassuk: ha MFA, a hülyéket az sem tudja megvédeni önmaguktól. A bank miért nem jelzett amúgy? Az is hibás? Ha mindenki, csak az user nem, akkor erre nincs gyógyszer, felesleges minden további erőlködés.
Vortex Rikers NC114-85EKLS
Nem csak MFA-val lehettt volna ezt megoldani. A banknál milyen információ volt amivel ezt meg tudta volna állapítani, hogy gyanús? Ezt a Neptunban kellett volna megakadályozni. Attól az user nincs felmentve a hülyesége alól, hogy a Neptun alapvető biztonsági megoldásokkal sem rendelkezik egy ilyen típusú csalás ellen.
A kocsiban is azért van biztonsági öv meg légzsák mert az user olyan amilyen...
Nem mintha bármelyik felet is védeném és elvonantkoztatva a konkrét esettől:
Az azért remélem, minden "biztonságtudatos"/"az én rendszeremben biztosan észrevenném azonnal"/... üzemeltetőnek is megvan, hogy egy "betörést" _átlagosan_ kb 200 nap alatt veszenk észre - olyan helyeket is beleértve, ahol tényleg van szeku - nem csak azt gondolják.
Nem egy ilyen közelében voltam (sajnos?) és ilyenkor borulnak azért a csontvázak egy RCA-nál.
Van ahol tanulnak belőle és fejlődnek és van ahol meg tapsolnak és bónuszt osztanak - hogy rosszabb is lehetett volna, igazából milyen f.szák voltunk :-)
És nem állami szektorról beszélek...
Én azt nem értem, hogy
- a rendszer miért nem szól, ha 130 tanulónak ugyanoda mutat a számlaszáma
- a kedves elkövető miért gondolta, hogy nem marad nyoma annak, hogy az ösztöndíjat 130-szor ugyanoda utalják. Mintha megállt volna tudománya ott, hogy ha visszaírja a számlaszámokat, akkor eltűnik minden nyom.
- a kedves elkövető miért gondolta, hogy nem tűnik fel az, ha egy egyetemista nem kapja meg a jogos ösztöndíját.
Használtál (meg voltál verve a sors által azzal, hogy használnod kellett) a Neptunt? Akkor sajnos költői a kérdésed, hogy miért gondolta, hogy "nem tűnik fel".
Mert annyiszor történtek random dolgok akár a rendszer hibájából, akár valamilyen intézményi adminisztrátor hülyesége által, ráadásul a kettő megkülönböztethetetlen egymástól. Hallgató által is látható audit trail hiánya... bár rég használtam Neptunt, de erős a gyanúm, hogy most is pont ugyanúgy nem transzparens, hogy ki milyen műveletet végzett a te accountod beállításain. Gondolom valami nagyon backend oldali logból lehet csak visszafejteni. Az emberek először nem is gyanakodnak arra, hogy támadás lenne, mert annyira alapértelmezett, hogy valami "szokásos" elcseszés van a háttérben. Be se menj a tanulmányi hivatalba, inkább várj egy kicsit hátha magától megjavul. Vagy egyszerűen ignore-áld. Engem anno próbáltak elhajtani azzal, "Jaj nemigaz, Ön is ezzel jön, higgye el, tökmindegy mi van a írva a tankör száma mezőbe, az Sehol. Se. Számít." Erre én: "Kivéve, ha 15. tankörbe kerülök, mert ők a német képzésesek és teljesen más tantárgyak vannak az előtanulmányi rendjükben. Ezért most nem tudok semmi tantárgyat felvenni!". És ez kb az évfolyam felével megtörtént, nem is egyszer.
A rendszer azért nem jelez, hogy 130 tanulónak ugyanaz a számlaszáma, mert eddig senki törvényileg/rendeletileg nem írt elő ilyen követelményt. Enélkül meg ugye minek fejlesztenének bele bármit is...
Régóta vágyok én, az androidok mezonkincsére már!
ETR alatt nőttem fel, sosem volt "szerencsém" a Neptunhoz :)
Nálunk is az volt, az is csak az utolsó 2-3 évben. Azt nem nyomta fel senki, de az eleve olyan fos is volt, hog nem volt jó semmire, max. csak vizsgajelentkezésre. Mondanám, hogy régenmindenjobbvót, de nem.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
de ha jol tudom az a kezdetektol webes volt, nem? amikor a neptun meg terminalszreveres delphis baromsag
> - a rendszer miért nem szól, ha 130 tanulónak ugyanoda mutat a számlaszáma
ezt honnan tudjuk, hogy mindet ugyanarra irta at? eleve tobb orszagot emlitenek a cikkben ha jol emlexem, es gondolom ilyen revolut es tarsaival general annyi kulonbozo szamlaszamot amennyit akar... vagy vesz a darkweben egy csomaggal.
Végül is, lelke rajta, remélem a kicsalt ösztöndíjak ösztönözték :D
A hírben persze még véletlenül sincs ott, hogy hogyan nyomta fel, pishing, vagy valami rést talált magában a Neptunban.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
https://www.police.hu/hu/hirek-es-informaciok/legfrissebb-hireink/bunug…
Nem másolnám be az egészet, több fentebbi feltételezésre is van benne válasz.
A kürtőskalács egy nagy lyuk, tésztával faszán körbetekerve.
Érdekes, hogy egy májusban "lezárult" dologból most lett hír.
Kösz. Ezek szerint pishing, így főleg a hallgatók hibája, de a Neptun ezt azzal megfoghatná, hogy van valami 2. faktor is azonosításkor, illetve a bankszámlaszámot csak késletetve, és csak magyar bankra lehet átíratni, így ha valaki esetleg suttyomban átirányítgatja, akkor még van idő észrevenni, az illetékes kap értesítést róla, és ha még el is emelték pénzét, mivel csak magyar bankba megy, van esély visszaszerezni.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Amikor az iskolai okostelefonkorlátozás ellen lázadozók számára is kiderül, hogy az elsők között okostelefonfüggőként egyetemistává felnőtt TikTok- és Instagram-generáció semmivel sem termel ki tudatosabb felhasználókat a digitális analfabéta Facebook-átlagkommentelőnél.
Tekintve, hogy ez egy szép kis phishing támadás volt, sok horogra akadt egységsugarú, okostelefongenerációs felhasználóval.