Miután feltörték a KRÉTA közoktatási adminisztrációs rendszert, tanulók és tanárok érzékeny adataihoz férhettek hozzá az egészségügyieketől a bankszámlaadatokig. Ez a GDPR-éra legkomolyabb magyar incidense lehet, a fejlesztőcég mégis inkább elhallgatni próbálta az egészet.
Nemrég feltörték a minden közoktatási intézményben kötelezően használandó adminisztrációs szoftver, KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t. Ez a Telex révén derült ki, a lapnak pedig nem hivatalosan a cégen belülről is elismerték az ügyet.
Ez nagyon súlyos incidensnek számít, egy, a lapnak nyilatkozó kiberbiztonsági szakértő szerint
ez lehet a GDPR-éra legsúlyosabb ilyen jellegű magyarországi botránya.
Nem csak érintettek tömege vagy az adatok mennyisége miatt, hanem azért is, mert nagyobb részt gyerekek az érintettek.
A KRÉTA ugyanis a diákok és a tanárok részletes adatai mellett egészségügyi adatokat, magatartászavarokat, igazolásokat, pénzügyi adatokat, más cégek adatait és még egy sereg más típusú adatot tartalmaz. A támadók pedig mindenhez hozzáférhettek, pusztán azután, hogy az egyik technikai projektvezető fertőzött linkre kattintott.
Az ügyben a Telextől hetek keresték az eKRÉTA Zrt.-t és a Klebelsberg Központot is, de semmit voltak voltak hajlandóak reagálni az ügyben. A rendőrséget is keresték, akik azt írták, hogy január óta adatszivárgás miatt náluk nem indult büntetőeljárás. Más ügyekben a szoftver kapcsán augusztus óta négy is, de abban például a bombariadók is benne lehetnek. A lap megkeresése után viszont a Nemzeti Adatvédelmi és Információszabadság Hatóság hivatalból eljárást indított.
A lapnál most viszont jelentkezett maga az érintett támadók közül az egyik hekker, aki belső beszélgetéseket, üzeneteket, képernyőképeket küldött át arról, hogy a fejlesztőcégnél megpróbálták eltusolni az ügyet.
"És az egésszel most mi a szart csinálunk? Balázs tudni sem akar róla – amit megértek…”
– írta például a belső kommunikációban az érintett projektvezető, feltehetően Szabó Balázsra, az eKRÉTA Zrt. vezérigazgatójára utalva. Egy másik üzenetben az érdeklődő újságírót az ellenségnek nevezik, miután megerősítést kapott a cégtől valakitől, hogy tényleg feltörték a rendszerüket.
A hekker szerint tömörítve több mint 200 GB-nyi adatot hoztak el a cégtől, saccra több tízezer érintettét. De nem céljuk ezen adatok kiszivogtatása vagy értékesítése, főképp a magyar rendszer alacsony színvonalára akarták felhívni a figyelmet. További belső részletek a Telex cikkében.
Ehhez kapcsolódóan: Egy rossz klikk, és a KRÉTA teljes adatbázisához hozzáférhettek ismeretlenek