,

Lov soukromých dat na univerzitě v Olomouci. Teď to byl test, příště může jít o útok

Napsal/a Jan Žabka 4. května 2018

Přes dva tisíce dobrovolně odevzdaných jmen a hesel studentů a akademických pracovníků k univerzitnímu portálu. To je výsledek simulovaného phishingového útoku, který si objednala Univerzita Palackého od společnosti CESNET. Jaká citlivá data uživatelů univerzitního portálu mohou být v případě skutečného útoku zneužita? To univerzita nemůže z bezpečnostních důvodů sdělit.

„Vaše heslo, kterým se prokazujete v univerzitním portále, je staré již více než 6 měsíců (přesně 80 dnů),“ varuje emailová zpráva studenty a zaměstnance Univerzity Palackého v Olomouci, která navíc obsahuje několik zjevných chyb, například v přepočtu měsíců na dny.

Cílem zprávy je z důvěřivých studentů a akademických pracovníků vydolovat přístupové údaje k univerzitnímu portálu. „Jde o učebnicový příklad tzv. phishingového útoku, tedy pokusu vylákat z uživatelů jejich uživatelské jména a hesla pod záminkou jejich expirace,“ vysvětluje pro Žurnál UP ředitel Centra výpočetní techniky UP David Skoupil.

Dva tisíce důvěřivých

Kdo zprávu rozeslal? Automat@upol.bz – falešný univerzitní email. Ten si pro účely útoku vytvořila společnost CESNET. Díky němu s výzvou ke změně přihlašovacího hesla dokázala oslovit přes 26 tisíc studentů a zaměstnanců univerzity. Na výzvu změnou hesla reagovalo více než dva tisíce z nich.

Nešlo však o skutečný útok, ale tzv. test sociálního inženýrství, který si u společnosti CESNET objednala Univerzita Palackého. „V rámci testu se podařilo získat uživatelská jména a hesla, která jsou nicméně chráněna naší vzájemnou smlouvou o mlčenlivosti,“ komentuje výsledek testu mluvčí univerzity Gabriela Sýkorová Dvorníková.

Univerzita za simulovaný útok zaplatila 56 tisíc korun bez DPH. „Obdrželi jsme podrobný výsledek testu v písemné podobě, včetně statistik,“ říká Sýkorová Dvorníková.

„Částka zahrnuje testy sociálního inženýrství v rozsahu pěti pracovních dnů. Výstupem testů je závěrečná zpráva a prezentace výsledků formou videokonference,“ komentuje objednávku vedoucí Oddělení péče o uživatele společnosti CESNET Radovan Igliar.

Lov soukromých dat na univerzitě

Na otázku, zda univerzita podnikne nějaké konkrétní kroky k zajištění bezpečnosti a edukaci v této věci mezi jejími studenty a zaměstnanci, odpovídá mluvčí Sýkorová Dvorníková: „Výsledky budou prezentovány na nejbližším jednání kolegia rektora, včetně možných kroků vedoucích k zajištění bezpečnosti a edukace. Konkrétní realizace je pak v kompetenci děkanů fakult.“

Podobným útokům totiž univerzita čelila již několikrát. „Phishingové útoky na Univerzitě Palackého probíhají často. Ten poslední nebyl vlastně vůbec ničím výjimečný,“ komentoval pro HlídacíPes.org útok vedoucí Centra prevence rizikové virtuální komunikace Kamil Kopecký v době, kdy ještě nebylo jasné, že jde jen o simulaci.

To následně potvrdila i mluvčí Sýkorová Dvorníková: „K útokům podobného typu dochází několikrát do měsíce. Útoky mají však různou úroveň kvality i rozsah.“

Jaká citlivá data studenti a zaměstnanci Univerzity Palackého na univerzitním portále mají a zda by mohlo dojít k jejich zneužití, však nelze podle mluvčí univerzity z bezpečnostních důvodů sdělit.

Uživatelé univerzitního portálu v něm přitom mají uloženou svou adresu, rodné číslo a často také číslo účtu.

Primárním způsobem, jak zamezit úniku těchto a dalších citlivých dat, je podle Kamila Kopeckého prevence a informovanost uživatelů. „To Univerzita Palackého udělala,“ uzavírá.

Čtěte též

Reklama

2 komentáře

  1. petrph napsal:

    Tak to si na to akademici z UP vybrali dost špatný čas. Protože za pár dní začne u nás platit evropská norma o zabezpečení evidovaných osobních údajů GDPR, a do té doby tuhle chybu skutečně stačí leda tak prezentovat, ale už vůbec ne dostatečně opravit a zavést do svých bezpečnostních norem.
    Jestli na ně příjde kontrola (a určitě příjde, když to sami publikují), tak jim to pěkně spočítá. A jestli si k tomu přibere ještě Cesnet, a začne se pídit, kde se v GDPR píše o povolení získávat a evidovat údaje skrze simulovaný pishingový útok, tak to bude pěkně drahý 🙁

    • GDPR napsal:

      Rád si hrajete na chytrého? … chtělo by to lepší domácí přípravu.
      1) Nařízení EU 2016/679 (GDPR) u nás již DÁVNO platí – od 17. května roku 2016 (slovy šestnást), … 20 dnů po zveřejnění v Úředním věstníku EU.
      2) Vůbec nechápu, jak by tato preventivní akce měla být v rozporu s Nařízením. Universita zaslala hromadný email – a někteří adresáti dobrovolně odpovídali na fake-adresu. Správcem dat je UPOL – a jak čtu, data obdržel UPOL.

Přidávání komentářů není povoleno
Reklama