Lopott KRÉTA-jelszavak szivárogtak ki, a Telex értesülése szerint a szülőknek figyelmeztetést küldtek a közoktatási rendszeren keresztül. A rendelkezésre álló információk alapján az alábbi üzenetet kapták meg több iskola felhasználói:
Tisztelt Felhasználó! Tájékoztatjuk, hogy […] felhasználói jelszava adatvédelmi incidensben lehet érintett […], illetéktelenek megpróbálhatnak a nevében belépni a KRÉTA fiókjába
A levélben a KRÉTA fejlesztője, az Educational Development Informatikai Zrt. (EduDev) arról értesítette az érintett iskolákat, hogy a Nemzeti Kibervédelmi Intézet (NKI) vizsgálata szerint KRÉTA-s felhasználónevek és jelszavak kerülhettek ki a lopott adatok terjesztésére használt darkwebre. Ezen adatok felhasználásával illetéktelenek próbálhatnak meg belépni az érintett felhasználók fiókjába.
A jelzés nem azt jelenti, hogy feltörték a fiókot, hanem azt, hogy máshonnan megszerzett belépési adatokat használva megpróbálhatnak belépni a nevükben. Aki így járt, annak mielőbbi jelszócserét, a kétfaktoros hitelesítés bekapcsolását javasolják, valamint az érzékeny fiókadatok, például a megadott bankszámlaszám ellenőrzését.
Az adatvédelmi incidensről az érintett szervezetek a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) is bejelentést tettek. Mint ismert, nem ez az első kellemetlenség, amit a KRÉTA felhasználói megtapasztalhattak az elmúlt években: 2022 szeptemberében hekkertámadás érte a fejlesztőt, amely a NAIH vizsgálata nyomán 110 milliós bírságot kapott.