Tavaly novemberben feltörték a minden oktatási intézményben használt KRÉTA adatbázisát és diákok adataihoz is hozzáférhettek a támadók. Bár a fejlesztő cég megpróbálta eltussolni az ügyet, de a hackerekről kiderült, hogy egy 15 és egy 13 éves fiatal. Majd a forráskódokból elkezdtek közzétenni közösségi oldalakon, amely arra engedett következtetni, hogy a rendszer biztonsági megoldásai messze nem a legtökéletesebbek.

„Azért itt vannak tehetségek. Itt volt a KRÉTA-rendszernek a feltörése. Nem fogják elhinni, egy 13 éves és egy 15 éves gyerek törte föl. Tehát van azért jó képzés, van jó példa” – mondta el Pintér Sándor decemberben egy kiszivágott beszédjében.

Azóta idén már támadás érte a Neptun egyetemi tanulmányi rendszerét is, illetve a szigorított biztonsági intézkedések ellenére újra több iskolában számolnak be arról, hogy KRÉTÁ-n tanárok nevében küldenek kamu üzeneteket.

Az rtl.hu utánajárt a KRÉTÁ-t és a Neptunt ért támadásoknak, az oktatási informatikai rendszerek sebezhetőségeinek és annak, mennyire hatékonyak a fejlesztők válaszlépései (a rendszer adatvédelmi hibáiról mi is írtunk májusban). A Híradónak a novemberi támadás után elárulták, hogy a Készenléti Rendőrség Nemzeti Nyomozó Iroda büntetőeljárást indított az ügyben.

„Arra tippelek, hogy volt munkavállaló adott tippet. Tehát itt nem arról van szó, hogy a fiatalok valami oltári nagyot alkottak”

– értékelte az rtl.hu-nak a feltörést Dr. Bencsáth Boldizsár, a BME Adat- és Rendszerbiztonság Laboratóriumának (CrySyS Lab) munkatársa.

A tavaly őszi esetről még mindig nem tudni, hogy biztosan feltörésről van-e szó, pontosan mit szereztek meg a hekkerek, és milyen módszerrel követték el a behatolást. Azonban a nyilvánosságra került információk alapján erős a gyanú, hogy az esetről nem tájékoztatták megfelelően az adatvédelmi hatóságokat.

A GDPR kemény jogszabály, és ha tényleg nem jelentették időben, akkor annak sok százmillió forintos következményei lehetnének. Ha igazak voltak az információk, akkor már ennek a nagy bírságnak be kellett volna ütnie - mondta a szakértő.

Az események rávilágítottak, hogy ezek a rendszerek évekkel elmaradtak az IT és webbiztonság jelenlegi trendjeitől, és jelentős átgondolásokra, fejlesztésekre van szükség, hogy korszerűnek, biztonságosnak, és megbízhatónak mondhassuk azokat – mondta a BME munkatársa a lapnak.

A fejlesztőcég válaszul az esetekre elkezdte bevezetni a kétlépcsős azonosítást, ami azt jelenti, hogy már nem elég beírni a felhasználüónevet és a jelszót, a belépést meg kell erősíteni egy SMS-ben kapott biztonsági kóddal is. Azt még nem tudni, hogy ez a funkció mindenki számára kötelező lesz-e vagy csak opcionális, de az rtl.hu-nak nyilatkozó etikus hekker szerint ahol lehetséges, ott be kell kapcsolni a kétfaktoros hitelesítést.