Újabb fejlemények láttak napvilágot a Köznevelési Regisztrációs és Tanulmányi Alaprendszert ért támadás ügyében. Miután a hackerek szerdán nyilvánosságra hozták a KRÉTA rendszerének forráskódját, a támadásért felelős Sawarim$ jelezte, csütörtökön közzéteszik a rendszer biztonsági réseinek kihasználását lehetővé tevő exploitot. A hazai IT-világ képviselői ekkor jelezték, hogy a lépés új fordulatot jelentene az ügyben, ugyanis azzal, hogy mindenki megismeri a rendszer sebezhetőségét, a tanárok és a diákok személyes információi kerülnének még nagyobb veszélybe.
Miután az eKRÉTA rendszer forráskódja nyilvánossá vált, az üzemeltetést végző cég karbantartásba kezdett az oldalon, melynek eredményeképp több időpontban elérhetetlenné vált a felület. A karbantartásra csütörtök este negyed nyolckor a hackerek is felfigyeltek, és azt írták: „reméljük, csinálnak is valamit”. Nem sokkal később pedig bejelentették: a biztonsági rések feltérképezéséhez szükséges exploit közzététele attól függ, sikerül-e a fejlesztőknek kijavítani a rendszer hibáit.
A karbantartás után le fogjuk tesztelni. Ha az exploit még most is működik, küldeni fogunk az eKRÉTA Zrt.-nek egy hivatalos hibabejelentős levelet. Ha szombat 23:59-re nem kapunk választ (még csak egy sima visszaigazolást sem, hogy megkapták a levelet) akkor GitHub-ra az exploitot publikusan fel fogjuk tölteni.
— írták a Telegramon működő, már közel két és fél ezer követővel rendelkező csoportban. A lépés lehetőséget ad az eKRÉTA Zrt.-nek hogy kijavítsák a biztonsági réseket, még úgy is, hogy a forráskód közzététele után bizonyára már most is sokan dolgoznak a támadó kódokon.
Ahogy arról az ügy kapcsán tegnap beszámoltunk, egy, a lapunknak névtelenül nyilatkozó szülő jelezte, hogy szeptember 27-én üzenetet kapott gyermeke oktatási intézményétől. Ebben adathalász üzenetek terjedésére figyelmeztetnek, és jelzik: kikapcsolásra kerültek a tanulók és a szülők közvetlen üzenetküldési lehetőségei. A támadásról ugyanakkor nem esik szó.
Az érintettekkel tehát nem közölték, hogy tanulók és a pedagógusok személyes adatai is veszélyben lehetnek, ahogy azt sem, hogy a KRÉTA forráskódja, és különböző adatbázisok is kiszivároghattak. Márpedig a hackerek által közzétett képernyőfotók szerint erről a támadás után egyből tájékoztatták a fejlesztőket a Slack üzenetküldő rendszeren keresztül. Az Európai Unió adatvédelmi rendelete, a GDPR 34. cikk 1. bekezdése kimondja:
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről
