KRÉTA-jelszavak kerülhettek ki, jelszóváltoztatásra kérik az érintetteket

Részlet a KRÉTA tájékoztató oldaláról, 2024. április 5.

Belépési adatokat tartalmazó lopott adatbázissal próbálhattak meg illetéktelenek számos, a KRÉTA közoktatási rendszerhez tartozó fiókba belépni. A fejlesztőcég és az érintett állami ügynökségek nem válaszoltak a Telex kérdéseire.

„Tájékoztatjuk, hogy [...] felhasználói jelszava adatvédelmi incidensben lehet érintett [...], illetéktelenek megpróbálhatnak nevében belépni a KRÉTA fiókjába.”

- több iskolában is ilyen értesítéssel találkozhattak a szülők, miután lopott KRÉTA-jelszavak szivároghattak ki, számolt be a Telex.

Az üzenet nem azt jelenti a tájékoztatás szerint, hogy biztosan be is léptek külső szereplők az érintett felhasználó fiókjába, csak azt, hogy megpróbáltak.

A Telex úgy tudja, hogy nem a KRÉTA-t törték most fel, hanem máshonnan szerezhettek egy nagyobb adag, feltehetőleg lopott, belépési adatokat tartalmazó adatbázist, és azt elkezdték nagy mennyiségben próbálgatni a KRÉTA-nál is. Gyakori ugyanis, hogy egy felhasználó ugyanazt a jelszót adja meg több helyre is.

Nem akart válaszolni se a fejlesztő, se az állam

A lap megkérdezte az ügyről a KRÉTA fejlesztőcégét, az Educational Development Informatikai Zrt.-t (EduDev) a Nemzeti Kibervédelmi Intézetet (NKI), a tankerületeket összefogó Klebelsberg Központot (KK) és a szakképzési centrumokat fenntartó Nemzeti Szakképzési és Felnőttképzési Hivatalt (NSZFH) is, de egyik helyről sem válaszoltak a kérdéseikre.

Független forrásból azonban meg tudták erősíteni azt, hogy a jelszócserére felkérő üzenetek valódiak, és hogy a adatvédelmi problémáról a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is tud.

Válaszok híján azonban nem lehet tudni, hogy hány ember és intézmény lehet érintett vagy hogy az illetéktelen támadók sikeresen be is tudtak-e lépni a valódi felhasználók helyett. A kötelezően használandó KRÉTA adminisztrációs rendszernek

nagyságrendileg 3,5 millió felhasználója van

az országban.

Két éve a KRÉTA-t törték fel, azt megpróbálták eltitkolni

2022 szeptemberében hekkertámadás érte a KRÉTA-t, de ez csak két hónappal később derült ki, miután a Telex beszámolt az esetről. A lapnál jelentkezett az egyik támadó is, aki belső beszélgetéseket, üzeneteket, képernyőképeket küldött át arról, hogy a fejlesztőcégnél megpróbálták eltussolni az ügyet.

"És az egésszel most mi a szart csinálunk? Balázs tudni sem akar róla – amit megértek…”

– írta például a belső kommunikációban az érintett projektvezető, feltehetően Szabó Balázsra, az eKRÉTA Zrt. (ez volt az EduDev korábbai neve) vezérigazgatójára utalva. Egy másik üzenetben az érdeklődő újságírót ellenségnek nevezték, miután megerősítést kapott a cégtől valakitől, hogy tényleg feltörték a rendszerüket.

Az akkor jelentkező hekker szerint tömörítve több mint 200 GB-nyi adatot hoztak el a cégtől, saccra több tízezer érintettét. Állítása szerint azonban nem céljuk ezen adatok kiszivárogtatása vagy értékesítése, főképp a magyar rendszer alacsony színvonalára akarták felhívni a figyelmet.

Végül a NAIH vizsgálata után 110 millió forintos bírságot kapott a fejlesztőcég tavaly decemberben a hiba miatt. A hivatal szerint több mint húszezer ember adatai kerülhettek ki akkor.

Ehhez kapcsolódóan: PDSZ: Országosan jellemző, hogy hamis adatokat írnak be a KRÉTA rendszerbe