Nyilvánossá vált a KRÉTA forráskódja, a rendszert korábban feltörő hackerek november 9-én közzétették az interneten az állami adminisztrációs rendszer kulcsfontosságú részét.
Ezzel újabb fejezetéhez érkezett a GDPR-éra legnagyobb hazai botránya. Hétfőn kiderült, hogy néhány hete sikeres adathalász-támadást hajtottak végre a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcége, az eKRÉTA Informatikai Zrt. ellen.
Ennek eredményeként a támadók illetéktelen hozzáférést szereztek a közoktatás minden intézményében kötelezően használt adminisztrációs rendszer adataihoz. Ezt követően arra is fény derült, hogy a fejlesztőcég el akarta kenni az ügyet, és nem értesítette időben a hivatalos szerveket az adatszivárgás tényéről.
A támadásban résztvevő egyik hacker jelezte, akciójukkal a magyar rendszerek rossz állapotát akarták bemutatni, és így tiltakoznak a problémák ellen, de személyes adatokat nem tesznek közzé, mert nem akarnak ártani a diákoknak. Ettől függetlenül szerdán mégis nyilvánosságra hozták a KRÉTA forráskódját egy Telegram-csoportban.
A szakember hozzátette: a közzététel már szerzői jogi kérdéseket is felvet.
A Telexnek nyilatkozva a fentebb említett hacker elmondta, egy általuk írt kártevő programot, egy úgynevezett RAT-et (távoli hozzáférést biztosító trójai programot) alkalmaztak a támadáshoz, méghozzá úgy, hogy az a cég minden vírusirtóján és védelmi szoftverén észrevétlenül átjutott.
A trójait a KRÉTA üzenetküldő rendszerén keresztül terjesztették: kiválasztottak minden adminisztrátort, és egy megtévesztő adathalász (phishing) emailben, magukat másnak kiadva küldték el a kártevő letöltéséhez szükséges linket, olyasminek álcázva, ami felkeltheti a célba vett adminisztrátorok érdeklődését.
Az adatvédelmi incidenseket alapesetben az Európai Unió adatvédelmi rendelete, a GDPR értelmében az adatkezelő köteles alapesetben 72 órán belül bejelenteni. A KRÉTA adatkezelési tájékoztatója szerint azonban a közoktatási rendszer tekintetében nem a fejlesztő eKRÉTA Zrt. az adatkezelő, hanem az azt használó intézmények, a fejlesztőcég pedig adatfeldolgozónak számít.
A jogszabály szerint tehát a cégnek a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé közvetlen bejelentési kötelezettsége a KRÉTA-rendszerrel kapcsolatban nincs, de az adatkezelő intézményeket értesítenie kell. Bár a botrány hétfői kirobbanásakor még nem folyt vizsgálat, a Nemzeti Adatvédelmi és Információszabadság Hatóság közölte: hivatalból eljárást indított. Az eljárás lezárásáig további információt nem adnak.
Frissítés: A KRÉTA oldalán megjelent egy rendszerüzenet, miszerint 2022. november 8-én este 10 órától tervezett rendszerfrissítést hajtottak végre. Azt azonban egyelőre nem tudni, hogy a frissítés véd-e a forráskód kikerülése ellen. Kérdéseinkkel felkerestük az eKRÉTA Informatikai Zrt.-t, amennyiben választ kapunk, cikkünket frissítjük.