Tovább dagad az egyik legnagyobb hazai adatszivárgási botrány. Miután a hackerek szerda délután közzétették a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA rendszerének forráskódját, egy, a lapunknak névtelenül nyilatkozó szülő jelezte, hogy szeptember 27-én üzenetet kapott gyermeke oktatási intézményétől. Ebben adathalász üzenetek terjedésére figyelmeztetnek, és jelzik: kikapcsolásra kerültek a tanulók és a szülők közvetlen üzenetküldési lehetőségei. A támadásról ugyanakkor nem esik szó.
Az már korábban ismertté vált, hogy a rendszer feltöréséhez vezető phishing-támadásra szeptemberben került sor. Ezzel nagyjából egy időben, szeptember 20-i dátummal a KRÉTA Tudásbázis nevű hivatalos információs oldalán megjelent egy „Fontos tájékoztatás!” elnevezésű írás, ami azt taglalja, hogy az elmúlt időszakban újra megjelentek az adathalász alkalmazások, amik e-mailben és más csatornákon terjednek. Emellett egy, a mostani ismeretek fényében érdekes, a felelősséget a felhasználókra hárító részlet is bekerült:
Augusztusban értesültünk róla egy szülői bejelentés alapján, hogy egy gyermek postafiókját feltörték illetéktelenek, így megszerezték a diák KRÉTA belépési adatait, oda beléptek és onnan üzeneteket küldtek – a KRÉTA-n keresztül – a pedagógusoknak. Ez nem azt jelenti, hogy a KRÉTA rendszert feltörték, hanem azt jelenti, hogy a felhasználó nem volt elég gondos, és mások megszerezték a belépési adatait.
A hackerek a támadás során a rendszer üzemeltetőinek belső kommunikációjához is hozzáfértek, melyből kiderül, sokáig tanakodtak azon, hogyan kezeljék az adatszivárgás tényét. Az phising-támadás áldozatául esett projektvezető kollégáinak azt írta: „vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség”.
Fontos megjegyezni, hogy az adatvédelmi incidenseket alapesetben az Európai Unió adatvédelmi rendelete, a GDPR értelmében az adatkezelő köteles 72 órán belül bejelenteni. A KRÉTA adatkezelési tájékoztatója szerint azonban a közoktatási rendszer tekintetében nem a fejlesztő eKRÉTA Zrt. az adatkezelő, hanem a szoftvert használó intézmények, a fejlesztőcég pedig adatfeldolgozónak számít. Egy, a lapunkat felkereső szülő szerint a támadást követő időszakban kaptak is egy üzenetet az adatkezelőtől, vagyis az oktatási intézménytől. Ebben ezt írták:
Tájékoztatom Önöket, hogy az elmúlt napokban több ún. “adathalász” üzenet jelent meg a KRÉTA üzenetküldési felületén, amelyben kártékony állományok letöltésére biztatja a felhasználókat. A felhasználók biztonsága érdekében a KRÉTA rendszerben az üzenetküldési beállítások központilag módosításra kerületek, ezért alapértelmezetten kikapcsolásra kerültek a tanulói, szülői közvetlen üzenetküldési lehetőségek. A szülőknek, tanulóknak küldött tanári üzenetre a címzett továbbra is tud válaszolni. A Kréta rendszer üzemeltetői kérik, hogy az ilyen üzenetekben szereplő linkekre ne kattintsanak rá és semmiképpen se töltsék le az ismeretlen hivatkozásokon található állományokat, különös tekintettel arra ha az futtatható (.exe) kiterjesztésű fájlt tartalmaz!
Az üzenet azt jelzi, hogy a rendszer üzemeltetői és az adatkezelő intézmények között zajlott kommunikáció adathalász kísérletekről. A tájékoztatóban a szülők és tanulók üzenetküldési funkciójának kikapcsolását adathalász üzenetek terjedésével indokolják, azonban nem esik szó a mára komplett közoktatási rendszerré bővült KRÉTA elleni támadásáról.
Nem közölték tehát, hogy tanulók és a pedagógusok személyes adatai is veszélyben lehetnek, ahogy azt sem, hogy a KRÉTA forráskódja, és különböző adatbázisok is kiszivároghattak. Márpedig a hackerek által közzétett képernyőfotók szerint erről a támadás után egyből tájékoztatták a fejlesztőket a Slack üzenetküldő rendszeren keresztül.
Ezzel kapcsolatban érdemes tudni, hogy az Európai Unió adatvédelmi rendelete, a GDPR 34. cikk 1. bekezdése kimondja:
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.