110 milliós büntetést kapott a nagyatádi iskolákban is használt KRÉTA rendszer fejlesztője

2022 szeptemberében feltörték a KRÉTA rendszert, melyet Nagyatádon is kötelezően használnak az általános és középiskolákban.  A Nemzeti Adatvédelmi és Információszabadság Hatóság határozatából kiderült, hogy több mint 20 ezer ember személyes adatai kerültek illetéktelen kezekbe, de a fejlesztőcég nem tudta bizonyítani, hogy ez nem történt meg az összes (több millió) felhasználóval.

A vállalatnál súlyos biztonsági hiányosságokra bukkantak, az incidens előtt még a rengeteg személyes adathoz hozzáférő felhasználók sem használtak kétlépcsős azonosítást, azóta ezen változtattak, illetve, tavaly elkezdték elérhetővé tenni mások számára is a funkciót, 2024 első negyedévében pedig fokozatosan kötelezővé teszik a védelem használatát az intézményi adminisztrátori fiókok esetében.

Kiderült, hogy a támadást követően ugyan lecserélték az érintett alkalmazott számítógépét, deaktiválták a hozzáférését a rendszerhez és új profilt kapott, de a jelszavait a Google fiókjába mentette, amihez a hekkerek is hozzáfértek (hiszen megfertőzték a számítógépét, és nem csak a KRÉTA azonosítóját, hanem egyéb fiókok adatait is megszerezték a gépről), így továbbra is képesek voltak a rendszerben maradni.

Bár a rendőrségi, illetve a kormányzati nyomozás eredménye azóta sem ismert, 2022 decemberében, egy tanárokkal folytatott konzultáción Pintér Sándor belügyminiszter a magyar informatikaoktatás sikerével viccelt, azt mondta, hogy „(…) Azért itt vannak tehetségek. Itt volt a KRÉTA rendszernek a feltörése. Nem fogják elhinni, maguk még nem tudják az eredményt. Egy 13 éves és egy 15 éves gyerek törte föl. Tehát van azért jó képzés, van jó példa”.

Sajnos a rendszer és a fejlesztőcég alapvető biztonsági hiányosságai nem erre utalnak, pedig a kétlépcsős azonosítás használatával jó eséllyel megelőzhető, vagy legalább mérsékelhető lett volna ez az adatszivárgás. A NAIH szerint „bizonyíthatóan bekövetkezett egyrészről egy magas kockázatú incidens, másrészről valószínűsíthetően bekövetkezett egy kiemelkedően magas kockázatú incidens”, illetve a cég „könnyelműen bízott a támadások elmaradásában, és […] a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan, a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott”.

A hatóság súlyosbító körülményként vette figyelembe, hogy az adatvédelmi incidensről nem a KRÉTA rendszert fejlesztő cégtől, hanem a sajtóból szerzett tudomást.

A fejleményekről az ügyet feltáró Telex számolt be, további részletekért érdemes elolvasni a cikküket.

Egy ilyen támadás esetén a tanár, diák, szülő, intézményi dolgozó kiszolgáltatott helyzetben van, hiszen az adatokhoz akkor is hozzáférnek, ha megfelelő jelszóval van védve a felhasználói fiók. Mégis, sokszor másféle támadás áldozatául esik egy-egy tanár vagy intézményi adminisztrátor, például, kitalálják a jelszavát, mert könnyen kikövetkeztethető, meglesi a diák, amíg a tanári asztal mellett áll, vagy egy ártalmatlannak tűnő, kártékony programot tartalmazó pendrive-ot csatlakoztat a tanári géphez, amivel néhány másodperc alatt megszerzi a mentett jelszavakat.

Ezek azok a támadási formák, amik ellen a legtöbb felhasználó tud védekezni, például, a megfelelő jelszavak kiválasztásával, a böngészőbe való mentés és a jelszavak újra felhasználásának elkerülésével, a kétlépcsős azonosítás használatával, illetve, a munkamenetetek megfelelő kezelésével (ha befejezte az adminisztrációt, kijelentkezik a weboldalon, nem csak bezárja az ablakot).

Arról már korábban írtunk, hogy miért ne válasszuk “Nagyatad”-ot jelszónak, a cikkből az is kiderül, mit érdemes használni helyette.

Megosztás