Pénzcentrum • 2022. november 9. 09:43
Szeptemberben adathalász támadás érte a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t. A támadó a közoktatás minden intézményében kötelezően használt állami adminisztrációs rendszer szinte minden adatához hozzáférhetett, így diákok személyes adataihoz is, de nemcsak ezeket, hanem a cég más adatbázisait és a forráskódokat, illetve a fejlesztők belső kommunikációját is megszerezték.
A KRÉTA rendszert még szeptemberben törték fel, a hackerek ezzel lényegében hozzáfértek a magyar közoktatásban tanuló valamennyi diák adataihoz. A fejlesztőcég tagadni próbálta az esetet. Egy hekker által küldött bizonyítékokból derült ki az is, hogy a cég tudott arról, hogy feltörték rendszerüket, ezzel pedig hozzáférnek a magyar közoktatásban tanuló diákok érzékeny adataihoz.
A hekker a Telexnek azt írta, hogy az akciójukkal a magyar rendszerek rossz állapotát akarták bemutatni, és a támadással tiltakoznak a problémák ellen, de személyes adatokat nem tesznek közzé, mert nem akarnak ártani a diákoknak. Egy kiberbiztonsági szakértő szerint a nyilvánosságra került információk alapján a fejlesztőcégnél súlyos biztonsági mulasztások merülnek fel. Szerinte ez lehet a GDPR-éra legdurvább adatvédelmi incidense. Az adatvédelmi hatóság hivatalból eljárást indított az ügyben. Az adatvédelmi szakértő szerint súlyosbító körülmény lehet, hogy a cég senkinek nem szólt a történtekről.
Helló, eKRÉTA! Sajnálatos módon a »profi« rendszereiteket sikeresen feltörtük, rengeteg adatot megszereztünk, köztük: forráskódok, adatbázisok, és még sorolhatnám! […] Mellesleg köszönjük a nagyon fontos, informatív Slack-beszélgetéseket, az újságíróknak biztos tetszeni fog, hogy a rendőröknek hamisítotok, stb
– ez az üzenet a KRÉTA közoktatási adminisztrációs rendszert fejlesztő cég, az eKRÉTA Zrt. egy belső kommunikációs felületén köszöntötte a dolgozókat, miután a céget adathalász támadás érte: egy átverős emailben az egyik projektvezető rákattintott egy fertőzött linkre, és a támadók hozzáférést szereztek a rendszereikhez, többek között a KRÉTA által kezelt adatokhoz, illetve a fejlesztői adatbázisokhoz és kódokhoz is.