Přes dva tisíce dobrovolně odevzdaných jmen a hesel studentů a akademických pracovníků k univerzitnímu portálu. To je výsledek simulovaného phishingového útoku, který si objednala Univerzita Palackého od společnosti CESNET. Jaká citlivá data uživatelů univerzitního portálu mohou být v případě skutečného útoku zneužita? To univerzita nemůže z bezpečnostních důvodů sdělit.

„Vaše heslo, kterým se prokazujete v univerzitním portále, je staré již více než 6 měsíců (přesně 80 dnů),“ varuje emailová zpráva studenty a zaměstnance Univerzity Palackého v Olomouci, která navíc obsahuje několik zjevných chyb, například v přepočtu měsíců na dny.

Cílem zprávy je z důvěřivých studentů a akademických pracovníků vydolovat přístupové údaje k univerzitnímu portálu. „Jde o učebnicový příklad tzv. phishingového útoku, tedy pokusu vylákat z uživatelů jejich uživatelské jména a hesla pod záminkou jejich expirace,“ vysvětluje pro Žurnál UP ředitel Centra výpočetní techniky UP David Skoupil.

Dva tisíce důvěřivých

Kdo zprávu rozeslal? [email protected] – falešný univerzitní email. Ten si pro účely útoku vytvořila společnost CESNET. Díky němu s výzvou ke změně přihlašovacího hesla dokázala oslovit přes 26 tisíc studentů a zaměstnanců univerzity. Na výzvu změnou hesla reagovalo více než dva tisíce z nich.

Nešlo však o skutečný útok, ale tzv. test sociálního inženýrství, který si u společnosti CESNET objednala Univerzita Palackého. „V rámci testu se podařilo získat uživatelská jména a hesla, která jsou nicméně chráněna naší vzájemnou smlouvou o mlčenlivosti,“ komentuje výsledek testu mluvčí univerzity Gabriela Sýkorová Dvorníková.

Univerzita za simulovaný útok zaplatila 56 tisíc korun bez DPH. „Obdrželi jsme podrobný výsledek testu v písemné podobě, včetně statistik,“ říká Sýkorová Dvorníková.

„Částka zahrnuje testy sociálního inženýrství v rozsahu pěti pracovních dnů. Výstupem testů je závěrečná zpráva a prezentace výsledků formou videokonference,“ komentuje objednávku vedoucí Oddělení péče o uživatele společnosti CESNET Radovan Igliar.

Lov soukromých dat na univerzitě

Na otázku, zda univerzita podnikne nějaké konkrétní kroky k zajištění bezpečnosti a edukaci v této věci mezi jejími studenty a zaměstnanci, odpovídá mluvčí Sýkorová Dvorníková: „Výsledky budou prezentovány na nejbližším jednání kolegia rektora, včetně možných kroků vedoucích k zajištění bezpečnosti a edukace. Konkrétní realizace je pak v kompetenci děkanů fakult.“

Podobným útokům totiž univerzita čelila již několikrát. „Phishingové útoky na Univerzitě Palackého probíhají často. Ten poslední nebyl vlastně vůbec ničím výjimečný,“ komentoval pro HlídacíPes.org útok vedoucí Centra prevence rizikové virtuální komunikace Kamil Kopecký v době, kdy ještě nebylo jasné, že jde jen o simulaci.

To následně potvrdila i mluvčí Sýkorová Dvorníková: „K útokům podobného typu dochází několikrát do měsíce. Útoky mají však různou úroveň kvality i rozsah.“

Jaká citlivá data studenti a zaměstnanci Univerzity Palackého na univerzitním portále mají a zda by mohlo dojít k jejich zneužití, však nelze podle mluvčí univerzity z bezpečnostních důvodů sdělit.

Uživatelé univerzitního portálu v něm přitom mají uloženou svou adresu, rodné číslo a často také číslo účtu.

Primárním způsobem, jak zamezit úniku těchto a dalších citlivých dat, je podle Kamila Kopeckého prevence a informovanost uživatelů. „To Univerzita Palackého udělala,“ uzavírá.