Egy csaló megpróbálhatott bejutni a KRÉTA-rendszerbe egy ellopott jelszó segítségével.

Technológia

Heti horoszkóp: az Ikrek számára szerelmet hoznak, a Skorpiónak jó ötleteket adnak a csillagok

A Köznevelési Regisztrációs és Tanulmányi Alaprendszer (KRÉTA), amely minden iskolában kötelező informatikai hálózatként működik, 2022 szeptemberében vált célponttá egy kibertámadás során. A nyilvánosság csak novemberben értesült a történtekről. A hackerek a fejlesztő cég egyik munkatársának levelezésébe férkőztek be, és ezen keresztül jutottak hozzá a forráskódokhoz. Ennek következtében hozzáfértek a diákok személyes adataihoz, valamint a fejlesztők közötti belső kommunikációhoz is. Pintér Sándor belügyminiszter decemberben megerősítette, hogy a támadást két iskolás korú gyermek hajtotta végre, amit később a közel másfél évig tartó rendőrségi nyomozás is megerősített.

Az ügyben a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálatot indított, ami 2023 decemberében zárult. A jelentés szerint a KRÉTA fejlesztője (akkor eKRÉTA, ma EduDev) törvényt sértett, amikor nem biztosított kellő védelmet az általa kezelt személyes adatoknak, mivel még alapvető technológiai és biztonsági megoldásokkal sem rendelkezett. A cég azzal is áthágta a jogszabályokat, hogy a kibertámadásról nem értesítette időben az adatkezelőket, vagyis az iskolákat.

A NAIH állásfoglalása alapján több mint húszezer ember személyes adatai valószínűleg illetéktelen kezekbe kerültek. A fejlesztőcég azonban nem tudta megerősíteni, hogy hasonló incidens ne történt volna más intézmények esetében is. Ezáltal a KRÉTA rendszer több millió felhasználójának adatai is veszélyben lehetnek.

Az adatvédelmi hatóság története során példa nélküli, 110 millió forintos bírságot rótt ki egy fejlesztőcégre, ezzel új magasságokba emelve a jogi szankciók mértékét.

Ezt követően, 2024 áprilisában a hírekben megjelent, hogy több hazai szakoktatási intézmény vonatkozásában a dark weben bukkantak fel a KRÉTA-rendszert használó tanulók és pedagógusok felhasználónevei és jelszavai.

A következő hónapban több iskolában biztonsági üzenetet találtak a felhasználók, amikor beléptek a KRÉTA -ba, amely arról szólt, hogy a jelszavuk adatvédelmi incidensben lehet érintett, vagyis megpróbálhatnak a nevükben illetéktelenek belépni a fiókjukba. Az érintett iskolákat az EduDev értesítette, hogy a Nemzeti Kibervédelmi Intézet vizsgálata szerint KRÉTA-s felhasználónevek és jelszavak lehetnek elérhetőek a lopott adatok terjesztésére is gyakran használt dark weben.

A szülőknek a jelszó mielőbbi cseréjét, a szerkeszthető fiókadat, például a megadott bankszámlaszám ellenőrzését és a biztonságosabb bejelentkezés érdekében a kéttényezős hitelesítés beállítását javasolták.

- Fontos tudni, hogy minden információ, amit online megosztunk, potenciálisan kiszivároghat - figyelmeztetett Nagy Z. Róbert, aki szülőként már hosszú évek óta használja a KRÉTA rendszert. Amikor a hírekben arról olvasunk, hogy egy ilyen platformot feltörtek, hajlamosak vagyunk csak legyinteni, ám előbb-utóbb szembe kell néznünk azzal a ténnyel, hogy a megszerzett adatokat valamilyen módon fel fogják használni.

Nagy Z. Róbert véleménye szerint elfogadhatatlan, hogy a közvetlen felhasználók nem mindig értesülnek a közoktatási informatikai rendszerek ellen irányuló kibertámadásokról. Úgy gondolja, hogy mindenkinek joga van tudni, ha a személyes adatai, amelyeket ezek a rendszerek tárolnak, veszélybe kerültek, vagy akár illetéktelen kezekbe juthattak.

- Hetente 10-15 adathalász email landol a postaládámban, és körülbelül kéthavonta telefonon is megpróbálnak átverni a csalók. Korábban az iskolai KRÉTA-felületet feltörték, most pedig a legfrissebb hírek szerint az érettségizők személyes adatai kerültek bűnözők kezébe. Mindkét esetben érintettek vagyunk, de sajnos csak a sajtóból szereztünk tudomást róluk - mesélte.

Úgy véli, hogy a tájékoztatás szükségessége még inkább indokolt, hiszen ő maga is közel került ahhoz, hogy sértett legyen egy csalási kísérlet áldozataként. Ezt a tapasztalatát a KRÉTA-rendszer 2022-es hackelésével hozza összefüggésbe.

Nemrégiben felhívott egy férfi, aki azt állította, hogy a banktól keres. Azt mondta, gyanús tranzakciókat észlelt, és arra kért, hogy utaljam át a pénzemet egy "biztonsági" számlára. Hogy a hívását hitelesítse, több személyes adatot is megosztott velem. Az email-címem ismeretét még nem tartottam gyanúsnak, de amikor a KRÉTA-jelszavamat is megpróbálta mondani, már kezdett gyanús lenni a helyzet. Szerencsére más jelszót használtam a banknál, így nem tudott átverni, de egyértelmű volt számomra, hogy a KRÉTA-ból szerzett információkkal próbálkozik. Ezt követően felkerestem az iskolát, és kértem, hogy töröljék a KRÉTA-hozzáférésemet. Mivel a feleségemnek is van hozzáférése, úgy éreztem, felesleges, hogy két potenciális biztonsági rés legyen. Az iskolában azonban közölték, hogy nem tudják törölni a fiókomat, mivel a lányom is kapott laptopot, amit én írtam alá. Azért aggódom, hogy ha valóban történik adatszivárgás, jó lenne, ha erről kapnék egy értesítést.

A felvetett problémával összefüggésben kérdéseinket a rendőrséghez, a fejlesztő EduDev Zrt.-hez, valamint a közoktatás állami irányító szervéhez, a Klebelsberg Központhoz is eljuttattuk. Eddig azonban csak az utóbbi válaszolt meg keresésünkre.

A hatályos jogszabályok értelmében a KRÉTA-rendszer a teljes köznevelési rendszer alapvető eszköze, és eddig még soha nem esett áldozatul kibertámadásnak.

A KLIK közleménye szerint eddig csupán olyan esetről van tudomásunk, amikor egy személy jogtalanul, egy másik felhasználó jelszavával próbálta meg elérni a rendszert. Ez azonban nem utal a rendszer biztonsági hiányosságaira.

Hozzátették: mind a mai napig érik informatikai támadás a KRÉTA-t, amelyek túlnyomó többségét a szakemberek sikeresen elhárítják. Ezek miatt vezették be a kétfaktoros azonosítást is. Ez a funkció egyes szerepköröknél kötelező, másoknál ajánlott, illetve bekapcsolható. Bármely szülő bekapcsolhatja a kétfaktoros azonosítást magának. Ezen felül további logikai védelmek is beépültek a KRÉTA-ba, és több sérülékenységvizsgálat is történt.

A KLIK szerint, ha illetéktelenek férnének hozzá az adatokhoz, az adatkezelőnek kötelessége ezt jelezni az érintett felhasználónak, de arra a kérdésre, hogy ez a gyakorlatban hogyan történik, nem válaszoltak.

Tudomásuk szerint évente több rendőrségi eljárás van KRÉTA felületén történő illetéktelen jelszóhasználat miatt, de ezekről nem tudnak további információval szolgálni. Aláhúzták, hogy a hatóságok vizsgálják a kritikus informatikai rendszerek, ezen belül a KRÉTA sérülékenységét.

Bár a KLIK nem adott hivatalos tájékoztatást erről, érdemes megemlíteni, hogy Pintér Sándor belügyminiszter legújabb rendelete értelmében szeptember 1-jétől az iskolaorvosi és iskolavédőnői nyilvántartásokat is a KRÉTA rendszerén keresztül fogják vezetni. Ez a változás szoros kapcsolatban áll a témával, és jelentős hatással lehet az iskolai egészségügyi ellátásra.

- A KRÉTA-adatbázis hackelésének nyomait nem sikerült felfedeznem a dark weben, de véleményem szerint egyértelmű, hogy a rendszer kompromittálódott - nyilatkozta Ványi Raymond, a SuperiorPentest kiberbiztonsági szakértője.

Az ő véleménye szerint a szavakkal való játék lehetősége adott, hiszen valójában nem a KRÉTA rendszerét célozták meg, hanem az egyik fejlesztő gépét. Mindazonáltal ez nem befolyásolja a tényt, hogy a támadás következtében a támadók végül mégiscsak a KRÉTA rendszeréhez jutottak el.

- Amennyiben egy informatikai rendszer, mint például a KRÉTA, forráskódja még mindig elérhető az interneten, akkor az azt jelenti, hogy a rendszer biztonságát már megbontották. Természetesen valószínű, hogy azóta a hibákat javították, vagy akár újra is írták a kódot, de a feltörés ténye vitathatatlan – hangsúlyozta a szakértő.

Azt is hozzátette: ha nincsenek eléggé védve az adatok, akkor nem is kell feltörni egy informatikai rendszert például az email-címek ellopásához.

Az email-cím azért nagyon fontos adat, mert a legtöbb online ügyintéző felületre, személyes fiókba ezzel lépünk be - mondta Ványi Raymond, aki felhívta a figyelmet egy olyan weboldalra, ahol az email-címünk beírásával ellenőrizni tudjuk, hogy személyes adataink veszélybe kerültek-e adatvédelmi incidensek miatt. A Have I Been Pwned? (HIBP) azokat a feltört weboldalakat is tartalmazza, amiket feltöltöttek a szolgáltatásába, tehát ezek között is ellenőrizni lehet, ha valaki érintett adatlopásban.

Ványi Raymond hangsúlyozza, hogy elengedhetetlen a jelszó megújítása, amint felmerül az adatlopás kockázata. Ezen kívül a kétfaktoros azonosítás alkalmazása jelentős mértékben növeli a biztonságot.

- Amennyiben valaki ellopja egy másik személy email-címét és jelszavát, ez önmagában még nem elegendő ahhoz, hogy hozzáférjen a fiókjához, hiszen szükség van a telefonjára is - figyelmeztetett.

A konkrét KRÉTA-esettel kapcsolatban azt is elmondta, hogy több módon is illetéktelenekhez kerülhet egy biztonsági jelszó. Például úgy, hogy ha valaki mindenhol ugyanazt a jelszót használja. Ebben az esetben ugyanis előfordulhat, hogy egy gyengébben védett - például Facebook - fiókot feltörnek, megszerzik a jelszót, email címet, telefonszámot, amivel aztán már egy erősebben védett oldalra is be tudnak jutni, ha a jelszó ugyanaz.

Egy másik megközelítés létezik: léteznek olyan számítógépes vírusok, amelyek észrevétlenül rejtőzködnek, és "figyelőként" működnek a gépen. Amikor a felhasználó bejelentkezik egy weboldalra, ezek a kártékony programok rögzítik a belépési adatokat, és azokat továbbítják a hacker számára. Mivel sosem lehetünk biztosak abban, hogy milyen kártevők lapulnak egy számítógépen, ezért erősen ajánlott, hogy más eszközöket ne használjunk érzékeny tevékenységekhez.

A jelszólopás harmadik, jól ismert formája az úgynevezett phishing, vagyis adathalászat. Ez egy hamis weboldal, amely megtévesztően hasonlít egy olyan oldalhoz, amit gyakran használunk, például a KRÉTA rendszerhez. Az adathalászat különböző módokon valósulhat meg. Például kaphatunk egy e-mailt, amely arra kér, hogy lépjünk be egy ismerős weboldalra (például egy nyereményjáték miatt). Azonban a link, amelyet az e-mail tartalmaz, nem az eredeti oldalra vezet, hanem annak egy másolatára. Ha rákattintunk és megadjuk a belépési adatainkat, azok azonnal a hackerek kezébe kerülnek.

Belügyminisztérium (Magyarország)CsillagFacebookMédia (kommunikáció)StatútumAdathalászatTechnológiaWeboldalInformatikaSzámítógépVírusSándor PintérKöznevelésLogikaHackerKrétaWorld Wide WebKlebelsberg Intézményfenntartó KözpontNemzeti Adatvédelmi és Információszabadság HatóságSebezhetőség (számítógépes biztonság)ForráskódSzámítógépes vírus

Related posts

Magyar Péter jelöltválogatása: érkeznek a kudarcra ítéltek, a naiv ábrándozók és azok, akik mindent egyetlen kártyára tesznek fel, ahogyan ő is tette.

Magyar Péter jelöltválogatása: érkeznek a kudarcra ítéltek, a naiv ábrándozók és azok, akik mindent egyetlen kártyára tesznek fel, ahogyan ő is tette.

Egy különleges gyümölcs, amelynek piaca határtalan lehetőségeket rejt magában – és most, öt évtized elteltével, végre hazánkban is megszületett a saját fajtája!

Egy különleges gyümölcs, amelynek piaca határtalan lehetőségeket rejt magában – és most, öt évtized elteltével, végre hazánkban is megszületett a saját fajtája!

Homola Paloznak: A bor és a piac varázslatos átalakulásai A Homola pincészet mindig is a minőség és az innováció szimbóluma volt Paloznakon. Az utóbbi években azonban a borászat nem csupán a borok ízletes világában, hanem a piaci stratégiák terén is jele

Homola Paloznak: A bor és a piac varázslatos átalakulásai A Homola pincészet mindig is a minőség és az innováció szimbóluma volt Paloznakon. Az utóbbi években azonban a borászat nem csupán a borok ízletes világában, hanem a piaci stratégiák terén is jele

Hont András: Nagy izgalommal tekintek a jövő évi Szigetre, különösen az Egészséges Fejbőr fellépésére, de remélem, hogy a Kárpátiának is lesz alkalmam felfedezni a színpadon.

Hont András: Nagy izgalommal tekintek a jövő évi Szigetre, különösen az Egészséges Fejbőr fellépésére, de remélem, hogy a Kárpátiának is lesz alkalmam felfedezni a színpadon.

A herceg kómába merült, és sosem tért vissza: a birodalom szívében gyász ül.

A herceg kómába merült, és sosem tért vissza: a birodalom szívében gyász ül.

Schóbert Lara lenyűgöző boldogsággal ragyogott, amikor bemutatta új álompasiját, aki mellett úgy tűnik, minden álma valóra válik.

Schóbert Lara lenyűgöző boldogsággal ragyogott, amikor bemutatta új álompasiját, aki mellett úgy tűnik, minden álma valóra válik.