Sikeres adathalász támadást hajtottak végre néhány hete a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcége, az eKRÉTA Informatikai Zrt. ellen. Ennek következtében a támadó illetéktelen hozzáférést szerezhetett a közoktatás minden intézményében kötelezően használt adminisztrációs rendszer adataihoz – írja a Telex.
A támadás következtében a diákok összes, a KRÉTA-ban kezelt adata kiszivárgott, ezen felül pedig a cég más adatbázisaihoz, forráskódokhoz, és a fejlesztők belső kommunikációjához is hozzáférhettek. Belsős információk szerint a támadás azután kezdődött meg, hogy egy projektvezető fertőzött linkre kattintott egy csaló emailben, az adatait megszerezve pedig szinte minden céges adathoz hozzáférhettek.
Míg a közvéleményben legtöbben e-naplóként ismerik csak a KRÉTA-t, mára jóval több funkciót lát el. Az e-napló mellett húszféle modul és rengeteg különféle alkalmazások tartozik hozzá. Kovács Gábor, a KRÉTA korábbi fejlesztési vezetője szerint a probléma az, hogy ha megvan a megfelelő belépési azonosító, a jelszavakat kivéve a diákok adatait valóban meg lehet szerezni.
A rendszer a diákok és a tanárok szinte minden adatát tartalmazza valamilyen moduljában, a taj-számok és más személyes adatok vagy a jegyek, intők a triviális kategória. Hogy mást ne említsek, ilyen adatok: a diákok fogyatékosságai, magatartászavarai, amelyek minősített adatok; felmentések, igazolások, egészségügyi adatok; pedagógusok és más alkalmazottak HR-adatai; intézmények költségvetése, gazdálkodása; intézmények iktatott dokumentumai.
— mondta, hozzátéve, hogy ezek alapján akár listázni is lehet a kiszolgáltatottabb helyzetben lévő fiatalokat. A portál felkereste a rendőrséget is, akik úgy nyilatkoztak: jelenleg nem zajlik büntetőeljárás a KRÉTA-t érintő adatszivárgás ügyében. Az egyik forrás azonban azt mondta, egy fiatalkorú elkövető állhat az adathalász kampány mögött. Ez nem lenne példátlan, a tavalyi támadást ugyanis egy 13 éves fiú hajtotta végre. Nagy különbség azonban, hogy akkor nem a KRÉTA rendszeréhez, csak egy fiókhoz férhettek hozzá.
A KRÉTA 2016-ban indult el azzal a céllal, hogy a kormány egyetlen központi e-napló felé terelje az iskolákat. A 2016/2017-es tanévben még önkéntes volt a KRÉTA e-naplójának használata, az intézményi adminisztrációs feladatokra azonban már ekkor is minden állami fenntartású iskola ezt használta. A következő években fokozatosan minden iskola áttért erre a közoktatási rendszerre. A platform működésére rengeteg panasz volt, azonban a koronavírus-járvány megjelenésével még több hiba jelentkezett. Legutóbb, amikor a járvány harmadik hullám miatt tavaly március ismét bezárták az iskolák, a digitális oktatás első napján összeomlott a rendszer.