#4 Összeállítás a kormány álláspontjáról:

Ezek az esetek azért is érdekesek, mert a jelek szerint a fejlesztőcég kommunikációja meglehetősen kusza volt az ügyben: a nyilvánosságot nem tájékoztatták, ahogy a hatóságokat sem, de a kormányt igen, és a cég ügyfélszolgálata egy-egy érdeklődő szülővel is megosztotta az információt, majdnem két hónappal azelőtt, hogy a közvélemény értesülhetett volna róla.

Úgy tudjuk, hogy az eKRÉTA Zrt.-nél szeptemberben, miután tudomást szereztek magáról a hekkerek bejutásáról, még arra a megállapításra juthattak, hogy adatszivárgás nem történt (azt pedig pláne nem tudták, hogy a hekkerek még több mint egy hónappal később is a rendszereikben vannak). Az adatok kikerülésének nyomait csak az első cikkünk után találták meg, de ők úgy látták, hogy a támadók hozzáférése korlátozottabb volt.

Azt hitték, csak ahhoz juthattak hozzá, ami az adathalász emaillel rászedett projektvezető gépén különféle okokból elérhető volt, a teljes rendszert nem – ami, ha bebizonyosodna, jó hír lenne, hiszen azt jelentené, hogy a gyakorlatban érintettek köre is jóval szűkebb lenne az elméletileg lehetségesnél. Mindezt hivatalos forrásból sajnos továbbra sem tudjuk megerősíttetni, mert a cég még egyetlen megkeresésünkre sem reagált semmilyen csatornán, amikor cikkeink megjelenése előtt a történtek tisztázására kértük.

Mit árulhat el egy forráskód?

Azután, hogy a hekkerek szerda reggel bejelentették, hogy közzé fogják tenni az eKRÉTA Zrt.-től ellopott forráskódot, a közösségi médiában és szakmai fórumokon számos szakértő figyelmeztetett arra, hogy ez azért lehet veszélyes, mert megkönnyítheti az esetleges támadásokat a sok ezer diák adatait kezelő KRÉTA ellen. Majd miután szerda este a hekkerek valóban kitettek egy kódcsomagot a Telegram-csatornájukra, elkezdtek terjedni a kódrészletekről a képernyőképek, és mindenki azon szörnyülködött, hogy milyen amatőrnek tűnő megoldásoktól – és válogatott káromkodásoktól – hemzseg.

Ezzel azonban érdemes óvatosan bánni, mert a hekkerek csak azt és csak úgy hozták nyilvánosságra, amit és ahogy azt ők jónak látták, a kódok pontos eredete, kontextusa, frissessége vagy elavultsága, illetve a közzé nem tett kódok minősége nem ismert. Ezért felkerestünk több, korábban az eKRÉTA Zrt.-nél dolgozó fejlesztőt, akiknek már nincs közük a céghez, így érdekükben sem áll szépíteni az ott folyó munka színvonalán, viszont jól ismerik a munkafolyamatokat és a KRÉTA mögötti kódbázist. (A téma körüli felhajtás miatt mindannyian csak név nélkül vállalták a nyilatkozatot.) Ezenkívül egy független, kódelemzésben jártas kiberbiztonsági szakértőt, Csermák Szabolcsot is felkértük, hogy mondjon szakvéleményt a látottakról.

Nem egyszerű a helyzet, és nem nagyon követték a szabályokat: https://telex.hu/tech/2022/11/09/kreta-rendszer-ekreta-zrt-adathalasz-tamadas-adatszivargas-elhallgatas-naih-vizsgalat-eljaras

A fejlesztőcég megpróbálta elhallgatni a KRÉTA feltörését

• Hétfőn megírtuk, hogy több forrásból megerősített információink szerint még szeptemberben adathalász támadás érte a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t. A támadó a közoktatás minden intézményében kötelezően használt állami adminisztrációs rendszer szinte minden adatához hozzáférhetett, így diákok személyes adataihoz is, de nemcsak ezeket, hanem a cég más adatbázisait és a forráskódokat, illetve a fejlesztők belső kommunikációját is megszerezték.
• Cikkünk után a támadás mögött álló egyik hekker felvette velünk a kapcsolatot, hogy további részleteket osszon meg velünk. Az általa küldött bizonyítékokból kiderül, hogy a cégen belül már akkoriban tudomást szereztek arról, hogy illetéktelen hozzáférés történt, és egymás között arról beszéltek, hogyan lehetne elkenni a történteket. „Vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség” – írta egyikük.
• A hekker a Telexnek azt írta, hogy az akciójukkal a magyar rendszerek rossz állapotát akarták bemutatni, és a támadással tiltakoznak a problémák ellen, de személyes adatokat nem tesznek közzé, mert nem akarnak ártani a diákoknak.
• Egy nekünk nyilatkozó kiberbiztonsági szakértő szerint a nyilvánosságra került információk alapján a fejlesztőcégnél súlyos biztonsági mulasztások merülnek fel. Szerinte ez lehet a GDPR-éra legdurvább adatvédelmi incidense. Az adatvédelmi hatóság első cikkünk megjelenése után hivatalból eljárást indított az ügyben. Az adatvédelmi szakértő szerint súlyosbító körülmény lehet, hogy a cég senkinek nem szólt a történtekről.