Belépési adatokat tartalmazó lopott adatbázissal próbálhattak meg illetéktelenek számos, a KRÉTA közoktatási rendszerhez tartozó fiókba belépni. A fejlesztőcég és az érintett állami ügynökségek nem válaszoltak a Telex kérdéseire.
„Tájékoztatjuk, hogy [...] felhasználói jelszava adatvédelmi incidensben lehet érintett [...], illetéktelenek megpróbálhatnak nevében belépni a KRÉTA fiókjába.”
- több iskolában is ilyen értesítéssel találkozhattak a szülők, miután lopott KRÉTA-jelszavak szivároghattak ki, számolt be a Telex.
Az üzenet nem azt jelenti a tájékoztatás szerint, hogy biztosan be is léptek külső szereplők az érintett felhasználó fiókjába, csak azt, hogy megpróbáltak.
A Telex úgy tudja, hogy nem a KRÉTA-t törték most fel, hanem máshonnan szerezhettek egy nagyobb adag, feltehetőleg lopott, belépési adatokat tartalmazó adatbázist, és azt elkezdték nagy mennyiségben próbálgatni a KRÉTA-nál is. Gyakori ugyanis, hogy egy felhasználó ugyanazt a jelszót adja meg több helyre is.
Nem akart válaszolni se a fejlesztő, se az állam
A lap megkérdezte az ügyről a KRÉTA fejlesztőcégét, az Educational Development Informatikai Zrt.-t (EduDev) a Nemzeti Kibervédelmi Intézetet (NKI), a tankerületeket összefogó Klebelsberg Központot (KK) és a szakképzési centrumokat fenntartó Nemzeti Szakképzési és Felnőttképzési Hivatalt (NSZFH) is, de egyik helyről sem válaszoltak a kérdéseikre.
Független forrásból azonban meg tudták erősíteni azt, hogy a jelszócserére felkérő üzenetek valódiak, és hogy a adatvédelmi problémáról a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is tud.
Válaszok híján azonban nem lehet tudni, hogy hány ember és intézmény lehet érintett vagy hogy az illetéktelen támadók sikeresen be is tudtak-e lépni a valódi felhasználók helyett. A kötelezően használandó KRÉTA adminisztrációs rendszernek
nagyságrendileg 3,5 millió felhasználója van
az országban.
Két éve a KRÉTA-t törték fel, azt megpróbálták eltitkolni
2022 szeptemberében hekkertámadás érte a KRÉTA-t, de ez csak két hónappal később derült ki, miután a Telex beszámolt az esetről. A lapnál jelentkezett az egyik támadó is, aki belső beszélgetéseket, üzeneteket, képernyőképeket küldött át arról, hogy a fejlesztőcégnél megpróbálták eltussolni az ügyet.
"És az egésszel most mi a szart csinálunk? Balázs tudni sem akar róla – amit megértek…”
– írta például a belső kommunikációban az érintett projektvezető, feltehetően Szabó Balázsra, az eKRÉTA Zrt. (ez volt az EduDev korábbai neve) vezérigazgatójára utalva. Egy másik üzenetben az érdeklődő újságírót ellenségnek nevezték, miután megerősítést kapott a cégtől valakitől, hogy tényleg feltörték a rendszerüket.
Az akkor jelentkező hekker szerint tömörítve több mint 200 GB-nyi adatot hoztak el a cégtől, saccra több tízezer érintettét. Állítása szerint azonban nem céljuk ezen adatok kiszivárogtatása vagy értékesítése, főképp a magyar rendszer alacsony színvonalára akarták felhívni a figyelmet.
Végül a NAIH vizsgálata után 110 millió forintos bírságot kapott a fejlesztőcég tavaly decemberben a hiba miatt. A hivatal szerint több mint húszezer ember adatai kerülhettek ki akkor.
Ehhez kapcsolódóan: PDSZ: Országosan jellemző, hogy hamis adatokat írnak be a KRÉTA rendszerbe