Észrevétlenül fért hozzá a hallgatók adataihoz a neptunos csaló, és ösztöndíjakat is utaltatott magának

HUP cikkturkáló

https://telex.hu/belfold/2024/08/05/rendorseg-sajtotajekoztato-neptun-c…

A sajtótájékoztatón elhangzottak szerint 2023 novemberében több magyar egyetem hallgatóinak Neptun-fiókjába is bejuthatott J. Gábor, egy magyar állampolgárságú csaló, aki így hónapokig gond nélkül hozzáférhetett hallgatótársainak adataihoz. 2024 januárjában, a tanulói ösztöndíjak kifizetésekor derült csak ki, hogy az elkövető ki-be járkálhatott a hallgatók fiókjába. A rendőrség közleménye szerint a csaló 2024. február 14. és március 13. között belépett több oktató és közel száz hallgató felhasználói fiókjába.

Na akkor most "bejuthatott" meg "hozzáférhetett" csak, vagy akkor ténylegesen "belépett"? Nagyon nagyon nem mindegy, előbbi feltételes mód (jogilag kísérlet csupán), utóbbi kijelentő, múlt idő (jogilag bűncselekmény tényállása állott fennen vala).

A másik meg, jajj, de jó, hogy ilyen hozzáértők kezelik az ÖSSZES egyetemista ÖSSZES személyes adatát (szarkazmus)!
Nemcsak hogy törhető, de HÓNAPOKIG észre sem vették, hogy valaki felnyomta a rendszerüket.

  • 1415 megtekintés

( Tron | 2024. 08. 05., h – 14:18 )

Szerkesztve: 2024. 08. 05., h – 14:19

1. Az ifjú titán nem hacker, csak amolyan script kiddie.

2. az ilyenek pedig rendszerint csak a legalja bűn rossz rendszereket, valamint a totál tudatlan és naív felhasználat tudják kijátszani.

>   a totál tudatlan és naív felhasználat tudják kijátszani

 

Ha egy intezmeny bevezet egy IT-rendszert, es az ugyvitelt kotelezoen csak azzal lehet intezni, akkor kotelessege minden felhasznalo edukalasa, illyetve technologiai intezkedesek (pl ketfaktoros authentikacio, forgalom es loginek monitorozas es szures, nagy szamu anomalia, pl azonos kulfoldi IP-rol tobb fiok, stb eseten egy operator riasztas) bevezetese. Baromira nem mentseg az, hogy a felhasznalo hulye volt. 

mint latjuk a netbankoknal, a 2fa es az edukacio sem segit a hulyeken. egyszeruen legyozik a rutinjukkal.

> egy intezmeny bevezet egy IT-rendszert

ami kotelezoen a fos "allami" neptun kell legyen, amihez semmilyen hozzaferest nem kap az intezmenyi IT...

( arpi_esp v | 2024. 08. 05., h – 14:43 )

Szerkesztve: 2024. 08. 05., h – 14:52

> Nemcsak hogy törhető

en azt hamoztam ki belole hogy sima egyszeru adathalaszat volt, csinalt egy kamu neptun login weboldalt es oda csalta a buta diakokat valahogy, azok meg amilyen hulyek beirtak oda a jelszavukat. aztan belepett a diakok neveben az o jelszavukkal es atirta a szamlaszamot. szoval nem tortek semmit, csak megtevesztettek...

amugy kinek kellett volna ezt es hogy eszrevennie? ha rajtam mulna talan monitoroznam az adatmodositasokat ahogy anno a zimbranal megcsinaltam, miutan megfigyeltem hogy az adathalaszok belepes utan atirjak a felado nevet/cimet, igy eleg volt arra riasztast csinalni, es ha nem magyar ip-rol tette mindezt akkor automatikus tiltas az accon. de a neptun egy zart ganyolmany by sda studio, ebbe nem lehet belenyulkalni sehogy (legalabbis nem engedik).

Küldhetne a rendszer egy nagyon szofisztikált emailt, ha megváltozott a számlaszám, ráadásul 2 napig nem enged az újra utalni. Email cím változtatáskor küldhetme a rendszer egy másik szofisztikált levelet a régi címre is. + 10 sor lenne egy rendes kódbázisban, email template-tel együtt.

A "hacker" felszínes "munkát" csinált és lebukott.

Az üzemeltető felszínes "munkát" csinált és lebukott.

Kicsi huszárt megrángatják, a rendszerek üzemeltetőit nem, és minden megy tovább mintha mi sem történt volna.

A srácot megrángatják, de nem lesz böri. Ebben az országban ilyenért soha senkit nem ítéltek el, mivel a bíróságnak sem jogilag, sem értelmileg nincs rálátásuk a dologra. Egy felfüggesztettel megússza. Ha gyilkolt vagy esetleg áramot lopott volna (mint LagziLajcsi) akkor talán kapna letöltendőt, de az esetek többségében semmi.

Ez ellen mondjuk a 2FA védene, ha más nem az adatmódosításra. (2FA és Neptun... najó abbahagyom mielőtt elröhögöm magam...)

Az igazi baj az, hogy azért nem bukhatott ki hónapokon át, mert az emberek sajnos teljesen hozzá vannak szokva, hogy a neptunban random dolgok csak úgy "történnek" az adataikkal. 4-5 ilyen "random elromlik majd random megjavul", esetleg be kell menni a tanulmányi hivatalba, hogy javítsák már vissza az elcsesződött adatot, és máris nem gyanakszik senki, hogy a 6. alkalom támadás lenne.

Amíg nem olvastam a cikkben, hogy phishing oldalt csinált a csóka, addig azt hittem a régi szokásos: "a biztonsági incidens miatt mindenkinek visszaállítottuk a jelszavát a születési dátumára" c. történetet használta ki valaki.

Régóta vágyok én, az androidok mezonkincsére már!

> visszaállítottuk a jelszavát a születési dátumára

1x lattam par hallgato neptun jelszavat, hat szotarral a 90%-uk torheto lenne 5 perc alatt...  123456 asdfgh keresztnev becenev szuletesidatum stb...  gondolom meg egy rendes jelszo policy sincs benne.

persz evannak perverzek is 30 karakteres jelszoval tele magyar ekezetes karakterekkel aztan csodalkoznak hogy a radiusos wifi auth nem engedi be vele :)

Először majdnem rávágtam, hogy biztos akkor vezették be (ez év február, pont 6 hónapja), mikor ez az ügy kiderült, de a linked szerint a SZIE-n már tavaly októberben bekapcsolták.

Nem tudom melyik a cikibb. Az se szép, hogy a lehetőség már megvolt, csak sok intézményben csesztek használni.

Régóta vágyok én, az androidok mezonkincsére már!

( zrubi v | 2024. 08. 05., h – 15:02 )

A másik meg, jajj, de jó, hogy ilyen hozzáértők kezelik az ÖSSZES egyetemista ÖSSZES személyes adatát (szarkazmus)!
Nemcsak hogy törhető, de HÓNAPOKIG észre sem vették, hogy valaki felnyomta a rendszerüket.

Mutyiország királya egy őszes úr, kit mindenki becéz.

zrubi.hu

az egyetem hallgatóinak küldött adathalász üzenet segítségével megszerezte

Innentől ismét az van, hogy akárkit akárhogy is becéznek hófehér hajával, a sértett térfeli emberi tényező nagyon gyenge láncszem, s ez nem változott az évitezedek alatt. Ha csinálok egy kamu oldalt amit a böngésző vagy a védelem (még) nem jelez, s ráveszlek egy primitív levélcímről küldött levéllel az adataid ottani beírására akkor azt elbasztad. Valaki gecchi volt, de akkor is elbasztad.

Csak ezt sem olvassátok el, hanem “zoúrbán zoúrbánh”! És ezzel el ki is veszitek az élét mindennek, aminek nem kellene. Olvassatok először pls.

Szóval úgy tűnik nincs felnyomás, és ezt nem nagyon lehet észlelni amíg a felhasználó nem jeleni a baját.

Vortex Rikers NC114-85EKLS

Egy ilyen rendszer esetén kérdédes, hogy a specifikációt ki adja, dobozos vagy megrendelésre készült.

Lehet a fejlesztőnek eszébe jutott volna ez a kockázat (bár nem az ő dolga ez), de ha konrétan nem kérik vagy ezt a kockázatot olyan szintre értékelik, amivel nem kell/érdemes foglalkozni, akkor pont le fogja sz.rni.

Ez teljesen igaz, de továbbra sem lehet csak és kizárólag a felhasználóra helyezni a felelősséget. Azon lehet vitatkozni, hogy a megrendelő vagy a fejlesztő volt-e nagyobb kutyaütő. :)

Azért pár vészcsengőnek meg kellett volna szólalnia mind megrendelői mind fejlesztői oldalon amikor tele van a rendszer személyes adattal meg banki utaláshoz használt számlaszámmal...

Ez az adatkezelő és /vagy az adatfeldolgozó felelelőssége, hogy a kezelt adatok besorolásnak megfelelően, kellő gondossággal járjon el.

Aki csak a szoftvert gyártja/fejleszti nem kell, hogy nagyon pörögjön ezen. Azt csinálja, amit kérnek tőle. Ő nem lesz kutyaütő ebben a történetben.

Szerintem.

Azért biztosan nem így van, hogy a fejlszető "kitalál" valamit....

Ez a dobozos szoftverekre van csak így, de ott is az adavédelmi felelősség azé, aki hasznája adott célra, a fejlesztőé csak az üzleti felelősség, ha olyat készít, ami nem felel meg az adatkezelőknek/feldolgozóknak és emiatt nem veszik, akkor beborul. 

Azt el tudom képzelni, hogy egy-egy egyetem úgy érzni nem kérdezik meg őket...bár azt is el tudom képzelni, hogy a legkisebb bajuk is nagyobb ennél + "az államot" büntetik meg ha gond lesz és emaitt le is sz.rják, de ettől függetlenül valaki csak lead valami igényt, amit lehet árazni és utána a teljesítésin aláiratni.

És a Neptun nem egy dobozos termék? Itt van egy szerződés pl: https://kozbeszerzes.uni-nke.hu/document/kozbeszerzes-uni-nke-hu/neptun_szerzodes.pdf

Ez elég dobozosnak tűnik, igaz a 120. pontban kizárják a felelősségüket:

 

120.

A Vállalkozó kizárja a felelősségét a Felhasználó egyedi autentikációhoz
használt jelszavának más személy által történő felhasználása következményeként
felmerülő károkért és veszteségekért, függetlenül attól, hogy ez a felhasználás akár
Felhasználó tudomásával, akár a nélkül történik. A Megrendelő és a Felhasználó
viszont felelőssé tehető más személy által a Neptunkód és a hozzá kapcsolódó jelszó
felhasználásával a Vállalkozónak vagy más félnek okozott károkért.

De. Sajnos így van. arpi_esp-nek van igaza. Már 20 éve is így volt, hogy az SDA tolta le az "okosságait", az egyetemek meg próbálták lenyelni az "ipari szemetet".
Lásd: 3R bevezetése körüli anomáliák.
Volt olyan egyetem, aki úgy próbált menekülni, hogy ETR-t használt.
Volt olyan egyetem, aki a teljes Neptun üzemeltetést odaadta az SDA-nak. Ezáltal minden üzemeltetési feladat és kockázat, felelősség az SDA-hoz került. Persze ezt jó zsírosan le is számlázta az SDA az egyetemeknek, főiskoláknak. Kötbér, mert az SDA hibázott? Ugyan már, hová gondolsz....

Szóval nincs új a Nap alatt. SDA az SDA maradt.

Ha ő üzemeltet, akkor már más a képelet - adatfeldolgzó lesz belőle - felelőssé tehető adatvédelmi dolgokért.

Ameddig "csak" fejleszt, nem. Joga van minden fejlesztőcégnek szar, nem biztonságos dolgokat feljeszteni. Szoktak is :-)

Kiválasztani, megvenni és használni/használtatni - az már más.

en mar nem emlexem a reszletekre, csak arra hogy valahogy kinyirtak, hogy mindenki neptunra menjen (minket nem erintett, mivel kb neptun betatesztelok voltunk mar 20+ eve is, amikor meg 100 milkaba kerulo hp szervereken se birt el 100 usernel tobbet)

Figyelj már, ha ráveszlek egy kamu hup-on a neved jelszavad beírására, majd ezekkel bejelentkezek a nevedben az igaziba, minden szart átírok, az üzemeltető honnan fogja ezt tudni?

S amikor majd megtudja tőled a sztorit, s azt, hogy részben a te naivitásod miatt idegen baszkódott a rendszerén, akkor vajon meg fog dícsérni? Értem a felelősséget, értem a védekezés lehetőségét, értem még a “mindenki hibás csak az user nem” naivitást is, de sajnos itt a felkészületlen ember az egyenlet szerves része, khmm.. igen hangsúlyosan. Ha 2FA akkor is megcsinálják, hiszen a telefonodról is viszik a tokent: aki bejelentkezik egy másolt oldalra az a telefonra is jó eséllyel fel fog telepíteni egy linkben kért szart. 

Vortex Rikers NC114-85EKLS

a HUP nem kezel minősítetten védett személyes adatokat, csak a belépéshez szükségeseket, a többi megadása opcionális.

Azonban az iskolai rendszerek ez esetben minden személyes adatot és bankszámlaszámot, valamint esetenként jegyeket és bizonyítványokat is tárol (tehát bizalmi szolgáltatást nyújt), amik módosítása akár egy tanuló egész életét is gajjra vághatja. Tehát igenis kötelessége az adatok védelmére, valamint a behatolás megelőzésére és kiszűrésére törekednie, valamint mindent apró szarságról is az ügyfeleket értesítenie. Aztán ha beüt a gebasz, vállalnia a felelősséget.

Kezdjük ott, hogy a hup-on nincsenek számlaszámok ahova ösztöndíj utalás megy. Ide nem létszükséglet az MFA. Egy olyan rendszerbe ami tele van személyes adattal, banki utaláshoz használt számlaszámmal talán többet illene tenni mint egy szakmai fórumon...

Okés, kezdjük ott, jogos (bár jogi értelemben szerintem nem teljesen). Folytassuk: ha MFA, a hülyéket az sem tudja megvédeni önmaguktól. A bank miért nem jelzett amúgy? Az is hibás? Ha mindenki, csak az user nem, akkor erre nincs gyógyszer, felesleges minden további erőlködés.

Vortex Rikers NC114-85EKLS

Nem csak MFA-val lehettt volna ezt megoldani. A banknál milyen információ volt amivel ezt meg tudta volna állapítani, hogy gyanús? Ezt a Neptunban kellett volna megakadályozni. Attól az user nincs felmentve  a hülyesége alól, hogy a Neptun alapvető biztonsági megoldásokkal sem rendelkezik egy ilyen típusú csalás ellen.

A kocsiban is azért van biztonsági öv meg légzsák mert az user olyan amilyen...

Nem mintha bármelyik felet is védeném és elvonantkoztatva a konkrét esettől:

Az azért remélem, minden "biztonságtudatos"/"az én rendszeremben biztosan észrevenném azonnal"/... üzemeltetőnek is megvan, hogy egy "betörést" _átlagosan_ kb 200 nap alatt veszenk észre - olyan helyeket is beleértve, ahol tényleg van szeku - nem csak azt gondolják.

Nem egy ilyen közelében voltam (sajnos?) és ilyenkor borulnak azért a csontvázak egy RCA-nál.

Van ahol tanulnak belőle és fejlődnek és van ahol meg tapsolnak és bónuszt osztanak - hogy rosszabb is lehetett volna, igazából milyen f.szák voltunk :-)

És nem állami szektorról beszélek...

( hyperborg | 2024. 08. 05., h – 15:29 )

Én azt nem értem, hogy 
- a rendszer miért nem szól, ha 130 tanulónak ugyanoda mutat a számlaszáma
- a kedves elkövető miért gondolta, hogy nem marad nyoma annak, hogy az ösztöndíjat 130-szor ugyanoda utalják. Mintha megállt volna tudománya ott, hogy ha visszaírja a számlaszámokat, akkor eltűnik minden nyom.
- a kedves elkövető miért gondolta, hogy nem tűnik fel az, ha egy egyetemista nem kapja meg a jogos ösztöndíját.

Használtál (meg voltál verve a sors által azzal, hogy használnod kellett) a Neptunt? Akkor sajnos költői a kérdésed, hogy miért gondolta, hogy "nem tűnik fel".

Mert annyiszor történtek random dolgok akár a rendszer hibájából, akár valamilyen intézményi adminisztrátor hülyesége által, ráadásul a kettő megkülönböztethetetlen egymástól. Hallgató által is látható audit trail hiánya... bár rég használtam Neptunt, de erős a gyanúm, hogy most is pont ugyanúgy nem transzparens, hogy ki milyen műveletet végzett a te accountod beállításain. Gondolom valami nagyon backend oldali logból lehet csak visszafejteni. Az emberek először nem is gyanakodnak arra, hogy támadás lenne, mert annyira alapértelmezett, hogy valami "szokásos" elcseszés van a háttérben. Be se menj a tanulmányi hivatalba, inkább várj egy kicsit hátha magától megjavul. Vagy egyszerűen ignore-áld. Engem anno próbáltak elhajtani azzal, "Jaj nemigaz, Ön is ezzel jön, higgye el, tökmindegy mi van a írva a tankör száma mezőbe, az Sehol. Se. Számít." Erre én: "Kivéve, ha 15. tankörbe kerülök, mert ők a német képzésesek és teljesen más tantárgyak vannak az előtanulmányi rendjükben. Ezért most nem tudok semmi tantárgyat felvenni!". És ez kb az évfolyam felével megtörtént, nem is egyszer.

A rendszer azért nem jelez, hogy 130 tanulónak ugyanaz a számlaszáma, mert eddig senki törvényileg/rendeletileg nem írt elő ilyen követelményt. Enélkül meg ugye minek fejlesztenének bele bármit is...

Régóta vágyok én, az androidok mezonkincsére már!

Nálunk is az volt, az is csak az utolsó 2-3 évben. Azt nem nyomta fel senki, de az eleve olyan fos is volt, hog nem volt jó semmire, max. csak vizsgajelentkezésre. Mondanám, hogy régenmindenjobbvót, de nem.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

> - a rendszer miért nem szól, ha 130 tanulónak ugyanoda mutat a számlaszáma

ezt honnan tudjuk, hogy mindet ugyanarra irta at? eleve tobb orszagot emlitenek a cikkben ha jol emlexem, es gondolom ilyen revolut es tarsaival general annyi kulonbozo szamlaszamot amennyit akar... vagy vesz a darkweben egy csomaggal.

( Raynes v | 2024. 08. 05., h – 23:40 )

Végül is, lelke rajta, remélem a kicsalt ösztöndíjak ösztönözték :D

A hírben persze még véletlenül sincs ott, hogy hogyan nyomta fel, pishing, vagy valami rést talált magában a Neptunban.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Kösz. Ezek szerint pishing, így főleg a hallgatók hibája, de a Neptun ezt azzal megfoghatná, hogy van valami 2. faktor is azonosításkor, illetve a bankszámlaszámot csak késletetve, és csak magyar bankra lehet átíratni, így ha valaki esetleg suttyomban átirányítgatja, akkor még van idő észrevenni, az illetékes kap értesítést róla, és ha még el is emelték pénzét, mivel csak magyar bankba megy, van esély visszaszerezni.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( hajbazer v | 2024. 08. 06., k – 13:29 )

Amikor az iskolai okostelefonkorlátozás ellen lázadozók számára is kiderül, hogy az elsők között okostelefonfüggőként egyetemistává felnőtt TikTok- és Instagram-generáció semmivel sem termel ki tudatosabb felhasználókat a digitális analfabéta Facebook-átlagkommentelőnél.

Tekintve, hogy ez egy szép kis phishing támadás volt, sok horogra akadt egységsugarú, okostelefongenerációs felhasználóval.