Senki sem tudja, miként bukkantak fel a KRÉTA-adatok a sötét hálón.
A KRÉTA-t fejlesztő EduDev jelentése szerint a kiszivárgott információk nem közvetlenül tőlük származnak
Ahogy arról korábban írtunk, egy olvasónk arról számolt be, hogy a KRÉTA-n használt biztonsági jelszavával próbálta őt megtéveszteni egy csaló, és úgy véli, felhasználóként nem kap megfelelő tájékoztatást a közoktatási informatikai rendszert érő támadásokról.
A közoktatásban elengedhetetlenül alkalmazott informatikai rendszer, a Köznevelési Regisztrációs és Tanulmányi Alaprendszer (KRÉTA) 2022 szeptemberében hackertámadás áldozatául esett, azonban a nyilvánosság csak novemberben szerzett tudomást az incidensről. A helyzetet követően a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 110 millió forint bírságot rótt ki a rendszer fejlesztőjére, mivel az nem biztosította a megfelelő védelmet a kezelt személyes adatok számára. Ezen kívül a cég hiányos technológiai és biztonsági intézkedésekkel rendelkezett, valamint nem értesítette időben az adatkezelőket, azaz az iskolákat.
2024 áprilisában aggasztó hírek érkeztek, amelyek szerint több hazai szakképző intézmény diákjainak és tanárainak felhasználónevei és jelszavai megjelentek a dark weben. Az érintett iskolákban a következő hónapban biztonsági figyelmeztetéseket küldtek a felhasználóknak, amelyekben arra hívták fel a figyelmet, hogy a jelszavak potenciális adatvédelmi incidens következményeként veszélybe kerültek. Kérték az érintetteket, hogy haladéktalanul cseréljék le jelszavaikat, ellenőrizzék fiókadataikat, és aktiválják a kéttényezős hitelesítést a további védelem érdekében.
A NAIH legfrissebb tájékoztatása alapján több szakképzési centrum jelezte, hogy az Educational Development Informatikai Zrt. (EduDev), amely a KRÉTA rendszer fejlesztéséért felel, arról értesítette az intézményeket: a Nemzeti Kibervédelmi Intézet vizsgálata során kiderült, hogy a dark weben potenciálisan hozzáférhetők lehetnek a KRÉTA-rendszer felhasználóinak nevei és jelszavai. Ennek következtében az adatvédelmi hatóság újabb ellenőrzést indított a helyzet tisztázása érdekében.
Kiderült, hogy az EduDev alapos vizsgálatot indított a 2022-es adathalász támadás nyomán, amelynek során súlyos következményekkel kellett szembenéznie. A rendőrségi nyomozások során olyan megdöbbentő információk kerültek napvilágra, amelyek szerint bizonyos diákok a KRÉTA rendszer felhasználói adatait juttatták el ismeretlen személyekhez, ami akár a sötét webre való felkerülést is jelenthette.
Az EduDev megbízott egy szakértőt, hogy kutasson a dark weben olyan adatokat követve, amelyek a céget érintő adathalászat során kerülhettek nyilvánosságra. Azonban a szakértő nem találta meg ezeket az információkat. A jelentés alapján az EduDev sikeresen azonosította, hogy a kiszivárgott felhasználónevek mely intézményfenntartókhoz vagy középirányító szervekhez tartoznak. Ennek eredményeként értesítette ezeket a szervezeteket, és javasolta számukra, hogy kezdeményezzék a jelszavak megváltoztatását az érintett intézményeknél.
A Nemzeti Kibervédelmi Intézet (NKI) a dark weben végzett legújabb vizsgálata során új felhasználói adatokat tárt fel, amelyek a korábbi elemzésekhez képest új információkat nyújtanak. A NAIH tájékoztatása szerint az érintett intézmények fenntartói és középirányító szervei is értesítést kaptak az új fejleményekről.
Bár az EduDev eddig nem válaszolt a kérdéseikre, de a NAIH azt állítja, a felhasználói adatok kiszivárgása és a 2022-es adathalász támadás között nem volt összefüggés.
A sötét weben fellelt információk nem az EduDevtől, vagyis a KRÉTA-rendszerből erednek.
- húzta alá az adatvédelmi hatóság a lapunkhoz eljuttatott válaszában. Onnan nem is kerülhettek ki, mert a KRÉTA-rendszerbe való belépéskor a felhasználónév és jelszó párosa biztonsági okokból nem kerül beazonosítható módon tárolásra - tették hozzá. Mivel azonban a felhasználói adatok kikerülésének pontos időpontjáról, módjáról és egyéb körülményeiről az EduDevnek nem volt tudomása, ezeket az információkat egyik vizsgálat sem tudta feltárni.
Az adatvédelmi hatóság végül arra a következtetésre jutott, hogy a 2022-es támadás nem állítható egyértelműen kapcsolatba a dark weben fellelhető személyes információkkal. Mivel jogsértés nem történt az ügy kezelése során, az EduDev ellen végzett második ellenőrzést lezárták.
A kérdésre, hogy szükséges-e tájékoztatni a felhasználókat a támadásokról, a NAIH a következőképpen reagált:
Az általános adatvédelmi rendelet 34. cikkelye kimondja, hogy amennyiben egy adatvédelmi incidens várhatóan jelentős kockázatot jelent a természetes személyek jogaira és szabadságaira, az adatkezelőnek haladéktalanul értesítenie kell az érintetteket. Ezen túlmenően az incidens körülményei, valamint az adatkezelő (a KRÉTA esetében az intézményfenntartó) és az adatfeldolgozó (a KRÉTA esetében az EduDev) közötti kapcsolat figyelembevételével kell meghozni a döntést arról, hogy ki és milyen formában tájékoztatja az érintetteket.
A KRÉTA-rendszerrel kapcsolatos támadások ügyében megkerestük a rendőrséget, amely arról számolt be, hogy eddig két ilyen esetben indítottak eljárást. A második esetben a felsőoktatási intézmények, mint például egyetemek és főiskolák, tanulmányi és pénzügyi adminisztrációját, valamint az oktatási és oktatás-szervezési feladatok nyilvántartását ellátó Neptun rendszer vált célponttá.
Ahogy arról korábban már beszámoltunk, 2023 tavaszán egy ismeretlen támadó kéretlen üzeneteket küldözgetett a KRÉTA és a Neptun rendszerein keresztül. A rendőrség nyomozásba kezdett, de eddig még nem sikerült azonosítani a hackert. A támadások nyomán a biztonsági intézkedéseket jelentősen megerősítették, és bevezették a kétfaktoros hitelesítést. A Neptun rendszerének feltörése után az elkövető a Telex hírportál nevével visszaélve továbbra is üzeneteket küldött.
