hackertámadás;eltussolás;KRÉTA-rendszer;

- A fejlesztők megpróbálták eltussolni a KRÉTA-rendszer feltörését, amelyben a hackerek minden magyarországi diák adatait megszerezték

Egy kiberbiztonsági szakértő szerint a hazai GDPR-éra legdurvább incidense következett be.

Néhány hete adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer (KRÉTA) fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t. A Telex értesülései szerint a támadás sikeres volt, illetéktelenek férhettek hozzá az online rendszerben tárolt összes adathoz, így valamennyi diák személyes adataihoz is. A lap kereste a céget és a Klebelsberg Központot, válaszokat nem kaptak. Az adatvédelmi hatóság és a rendőrség annyit írt, az esetről nem érkezett hozzájuk bejelentés. Az Oktatási Hivatal és a Belügyminisztérium szerint ők nem illetékesek.

A támadás mögött álló egyik hacker felvette a kapcsolatot a Telexszel és további részleteket osztott meg. E szerint a cégen belül már akkor tudomást szereztek a rendszer feltöréséről, de egymás között inkább azt vitatták meg, hogyan lehetne eltussolni a történteket. „Vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség” - írta az eKRÉTA Zrt. egyik projektvezetője még szeptember végén. Pedig a cég egyik belső kommunikációs felületén egészen konkrétan ez az üzenet fogadta a dolgozókat:

„Helló, eKRÉTA! Sajnálatos módon a »profi« rendszereiteket sikeresen feltörtük, rengeteg adatot megszereztünk, köztük: forráskódok, adatbázisok, és még sorolhatnám! […] Mellesleg köszönjük a nagyon fontos, informatív Slack-beszélgetéseket, az újságíróknak biztos tetszeni fog, hogy a rendőröknek hamisítotok.”

A hacker azt közölte a lappal, hogy akciójukkal a magyar rendszerek rossz állapotát akarták bemutatni, a támadással a problémák ellen tiltakoznak, személyes adatokat azonban nem tesznek közzé, nem akarnak ártani a diákoknak.

A KRÉTA korábbi fejlesztési vezetője, Kovács Gábor szerint egy ilyen támadás alkalmával sajnos rengeteg mindenhez hozzáférhetnek: „A KRÉTA a diákok és a tanárok szinte minden adatát tartalmazza valamilyen moduljában, a tajszámok és más személyes adatok vagy a jegyek, intők a triviális kategória” - mondta, hozzátéve, ennél érzékenyebb adatokat is megszerezhettek:

„Hogy mást ne említsek, ilyen adatok: a diákok fogyatékosságai, magatartászavarai, amelyek minősített adatok; felmentések, igazolások, egészségügyi adatok; pedagógusok és más alkalmazottak HR-adatai; intézmények költségvetése, gazdálkodása; intézmények iktatott dokumentumai.”

Egy, a téma érzékenysége miatt névtelenséget kérő kiberbiztonsági szakértő a Telexnek úgy nyilatkozott: „Ha a nyilvánosan rendelkezésre álló információk, illetve a keringő pletykák igaznak bizonyulnak, úgy véleményem szerint a hazai GDPR-éra legdurvább incidense következett be, amely nemcsak az érintettek számossága vagy a kompromittálódott személyes adatok mennyisége, hanem az érintettek személye – gyermekek – miatt is különösen aggasztó”.

Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke arról tájékoztatott, az ügyben hivatalból eljárást indítottak. Az eljárás lezárásáig további információt nem adnak. Rendőrségi bejelentést ismeretlen elkövető ellen Tényi István tett, információs rendszer vagy adat megsértése bűntett gyanújával.

A ferencvárosi polgármester megválasztásáról a kormánypárti sajtótermék propagandistáinak a kecskedugás jutott eszébe.