Feltörhették a KRÉTA-t, a diákok adatai is kiszivároghattak

Fórum: 

Az Telexen megjelent cikk szerint:

Néhány héttel ezelőtt adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t.

A támadás sikeres volt, így a támadó illetéktelen hozzáférést szerezhetett a közoktatás minden intézményében kötelezően használt adminisztrációs rendszer adataihoz – értesült a Telex a cégtől független forrásból.

Úgy tudjuk, valamennyi diák összes, a KRÉTA-ban kezelt adata kiszivároghatott, de nemcsak ezekhez, hanem a cég más adatbázisaihoz és a forráskódokhoz, illetve a fejlesztők belső kommunikációjához is hozzáférhettek.

Információinkat névtelenül az eKRÉTA Zrt.-n belülről is megerősítették, a fejlesztésre rálátó forrásunk szerint valóban történt adathalász támadás: egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül.

[...]

Az ügyben többször is kerestük az eKRÉTA Zrt.-t emailben és telefonon is, először október 11-én, azaz közel egy hónappal cikkünk megjelenése előtt. Többek között arra voltunk kíváncsiak, hogy meg tudják-e erősíteni, hogy adatszivárgás történt, és ha igen, jelezték-e azt a hatóságoknak, illetve pontosan milyen adatok érintettek. Később személyesen Szabó Balázs vezérigazgatót is próbáltunk emailben és telefonon elérni. Jeleztük, hogy szeretnénk, ha a cikkünk úgy tudna megjelenni, hogy abban a cég álláspontja is helyet kap, így a reakciójukkal teljesebb képet tudjunk adni arról, hogy mi történt vagy nem történt pontosan. Egyik megkeresésünkre sem érkezett semmilyen válasz.

A fejlesztőcégen kívül több állami szereplőt is megkerestünk, amelyek valamilyen formában érintettek lehetnek a KRÉTA-val kapcsolatos ügyekben, de náluk sem jártunk sikerrel:

  • A Nemzeti Infokommunikációs Szolgáltató Zrt. (NISZ) biztosítja az infrastruktúrát, amelyen a KRÉTA fut, de mint írták, „kérdései megválaszolásában a NISZ Zrt. nem illetékes”.
  • Az Oktatási Hivatal válasza szerint „a kérdésben a hivatal nem illetékes”.
  • Az idén tavasszal, a választások után átalakított kormányzati struktúrában a közoktatás már a Belügyminisztériumhoz tartozik, ezért őket is kerestük, de csak annyit írtak, „megkeresését továbbítottuk a Klebelsberg Központnak”.
  • A közoktatásban szakmai irányítási és fenntartói feladatokat ellátó Klebelsberg Központ cikkünk megjelenéséig semmit nem reagált a kérdéseinkre.

Megkerestük az Országos Rendőr-főkapitányságot (ORFK) is, hogy történt-e feljelentés, indult-e nyomozás a KRÉTA-val kapcsolatos adatszivárgás ügyében. Megkeresésünk után csaknem két héttel az ORFK azt írta,

„a KRÉTA rendszert érintő adatszivárgás miatt 2022. január 1-jét követően a rendőrség nyomozó hatóságainál nem indult büntetőeljárás.”

Remélem törlik a lányom

Értékelés: 

4
Átlag: 4 (1 szavazat)

Remélem törlik a lányom intőit és átírják a fiam ceka feleletét - a többi nem érdekel. :)

Megszólalt a KRÉTA-t megtámadó egyik hekker

Értékelés: 

1
Átlag: 1 (1 szavazat)

"a hekker által küldött bizonyítékokból kiderül: a cégen belül már akkoriban tudomást szereztek arról, hogy illetéktelen hozzáférés történt, és egymás között arról beszéltek, hogyan lehetne elkenni a történteket."

https://24.hu/belfold/2022/11/09/megszolalt-a-kreta-t-megtamado-egyik-he...

kimarite képe

Megszólalt a KRÉTA-t megtámadó egyik hekker

Értékelés: 

0
Még nincs értékelve

#3 Nem.szeretnék gonosz lenni, elkeseredett meg végképp nem, de az állam megbünteti saját magát, ezt ismét mi, állapolgárok fizetjük, ahelyett, hogy kevesebb pénz ment volna egy etikus hacker csapatra, tényleg feltérképezni a réseket, megelőzni, amit lehet. És mindenki boldog, én is, te is, és akik gondolkodnak.

kami911 képe

Nem egyszerű a helyzet, és

Értékelés: 

0
Még nincs értékelve

Nem egyszerű a helyzet, és nem nagyon követték a szabályokat: https://telex.hu/tech/2022/11/09/kreta-rendszer-ekreta-zrt-adathalasz-tamadas-adatszivargas-elhallgatas-naih-vizsgalat-eljaras

A fejlesztőcég megpróbálta elhallgatni a KRÉTA feltörését

  • Hétfőn megírtuk, hogy több forrásból megerősített információink szerint még szeptemberben adathalász támadás érte a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t. A támadó a közoktatás minden intézményében kötelezően használt állami adminisztrációs rendszer szinte minden adatához hozzáférhetett, így diákok személyes adataihoz is, de nemcsak ezeket, hanem a cég más adatbázisait és a forráskódokat, illetve a fejlesztők belső kommunikációját is megszerezték.
  • Cikkünk után a támadás mögött álló egyik hekker felvette velünk a kapcsolatot, hogy további részleteket osszon meg velünk. Az általa küldött bizonyítékokból kiderül, hogy a cégen belül már akkoriban tudomást szereztek arról, hogy illetéktelen hozzáférés történt, és egymás között arról beszéltek, hogyan lehetne elkenni a történteket. „Vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség” – írta egyikük.
  • A hekker a Telexnek azt írta, hogy az akciójukkal a magyar rendszerek rossz állapotát akarták bemutatni, és a támadással tiltakoznak a problémák ellen, de személyes adatokat nem tesznek közzé, mert nem akarnak ártani a diákoknak.
  • Egy nekünk nyilatkozó kiberbiztonsági szakértő szerint a nyilvánosságra került információk alapján a fejlesztőcégnél súlyos biztonsági mulasztások merülnek fel. Szerinte ez lehet a GDPR-éra legdurvább adatvédelmi incidense. Az adatvédelmi hatóság első cikkünk megjelenése után hivatalból eljárást indított az ügyben. Az adatvédelmi szakértő szerint súlyosbító körülmény lehet, hogy a cég senkinek nem szólt a történtekről.
kami911 képe

Nem egyszerű a helyzet, és

Értékelés: 

0
Még nincs értékelve

#4 Összeállítás a kormány álláspontjáról:

Ezek az esetek azért is érdekesek, mert a jelek szerint a fejlesztőcég kommunikációja meglehetősen kusza volt az ügyben: a nyilvánosságot nem tájékoztatták, ahogy a hatóságokat sem, de a kormányt igen, és a cég ügyfélszolgálata egy-egy érdeklődő szülővel is megosztotta az információt, majdnem két hónappal azelőtt, hogy a közvélemény értesülhetett volna róla.

Úgy tudjuk, hogy az eKRÉTA Zrt.-nél szeptemberben, miután tudomást szereztek magáról a hekkerek bejutásáról, még arra a megállapításra juthattak, hogy adatszivárgás nem történt (azt pedig pláne nem tudták, hogy a hekkerek még több mint egy hónappal később is a rendszereikben vannak). Az adatok kikerülésének nyomait csak az első cikkünk után találták meg, de ők úgy látták, hogy a támadók hozzáférése korlátozottabb volt.

Azt hitték, csak ahhoz juthattak hozzá, ami az adathalász emaillel rászedett projektvezető gépén különféle okokból elérhető volt, a teljes rendszert nem – ami, ha bebizonyosodna, jó hír lenne, hiszen azt jelentené, hogy a gyakorlatban érintettek köre is jóval szűkebb lenne az elméletileg lehetségesnél. Mindezt hivatalos forrásból sajnos továbbra sem tudjuk megerősíttetni, mert a cég még egyetlen megkeresésünkre sem reagált semmilyen csatornán, amikor cikkeink megjelenése előtt a történtek tisztázására kértük.

Mit árulhat el egy forráskód?

Azután, hogy a hekkerek szerda reggel bejelentették, hogy közzé fogják tenni az eKRÉTA Zrt.-től ellopott forráskódot, a közösségi médiában és szakmai fórumokon számos szakértő figyelmeztetett arra, hogy ez azért lehet veszélyes, mert megkönnyítheti az esetleges támadásokat a sok ezer diák adatait kezelő KRÉTA ellen. Majd miután szerda este a hekkerek valóban kitettek egy kódcsomagot a Telegram-csatornájukra, elkezdtek terjedni a kódrészletekről a képernyőképek, és mindenki azon szörnyülködött, hogy milyen amatőrnek tűnő megoldásoktól – és válogatott káromkodásoktól – hemzseg.

Ezzel azonban érdemes óvatosan bánni, mert a hekkerek csak azt és csak úgy hozták nyilvánosságra, amit és ahogy azt ők jónak látták, a kódok pontos eredete, kontextusa, frissessége vagy elavultsága, illetve a közzé nem tett kódok minősége nem ismert. Ezért felkerestünk több, korábban az eKRÉTA Zrt.-nél dolgozó fejlesztőt, akiknek már nincs közük a céghez, így érdekükben sem áll szépíteni az ott folyó munka színvonalán, viszont jól ismerik a munkafolyamatokat és a KRÉTA mögötti kódbázist. (A téma körüli felhajtás miatt mindannyian csak név nélkül vállalták a nyilatkozatot.) Ezenkívül egy független, kódelemzésben jártas kiberbiztonsági szakértőt, Csermák Szabolcsot is felkértük, hogy mondjon szakvéleményt a látottakról.

kimarite képe

Nem egyszerű a helyzet, és nem egyszerű a helyzet, és...

Értékelés: 

0
Még nincs értékelve

#4.1 Ezekről az eseményekről mindig a BKK (BKV) e-jegy alkalmazás „megoldása” jut eszembe :), a 2017-es adatszivárgás. De minő „szerencse”, hogy pár éve már egy új szereplő diktál(hat)..., és bizonyíthatja alkalmasságát vagy éppen alkalmatlanságát: - megvette a botrány főszereplőjét.

kimarite képe

javítás

Értékelés: 

0
Még nincs értékelve

#4.1.1 Bocsánat, végül nem vette meg. ;) (nem meglepő, és nem számít)