Kiterjedt adatlopás az érettségi rendszerből – újabb részletek a célzott kibertámadásról

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

Ötszázezer ember adatait érinthette a támadás – a támadók hozzáfértek vizsgázói, vizsgáztatói és intézményi információkhoz is. A Belügyminisztérium és az Oktatási Hivatal korábbi közléseit követően most újabb részletek derültek ki a kétszintű érettségi vizsgák lebonyolítását végző informatikai rendszert ért célzott hackertámadásról. A 2025. június 12-én közzétett hivatalos tájékoztatás megerősítette, hogy a támadásban mintegy ötszázezer fő adatai válhattak érintetté, köztük vizsgázók, vizsgáztatók és a szervezésben részt vevő intézményi felhasználók.

Kiknek az adatai kerülhettek veszélybe?

A vizsgálat jelenlegi állása szerint az érettségi vizsgákban 2022 és 2025 között érintett személyek adatait tároló háttérrendszert támadták meg. A rendszerből másolt adatok között megtalálhatók:

  • Vizsgázók személyes adatai, mint például:
    • név, születési adatok, anyja neve, lakcím, telefonszám, e-mail-cím
    • személyazonosító okmányok típusa és száma
    • tanulói azonosító, érettségi okmány száma
    • vizsgaeredmények (pontszám, százalék, érdemjegy)
    • vizsgajelentkezés, mentességek, speciális vizsgakörülmények
    • vizsgabeosztásban szereplő intézményi adatok
    • vizsgadíjfizetéssel kapcsolatos információk
  • Vizsgáztatók adatai, például:
    • név, születési dátum, anyja neve, lakcím, elérhetőségek
    • munkahely, vizsgáztatói igazolvány száma és érvényessége
    • vállalt vizsgáztatói szerepkörök
  • Felhasználói és intézményi adatok, többek között:
    • felhasználói azonosítók, hash-elt jelszavak, e-mail-címek, telefonszámok
    • felhasználói típus (adminisztrátor, általános felhasználó)
    • intézmények publikus elérhetőségei, vizsgabeosztási helyszínek, teremadatok

Nincs nyilvánosságra hozott adat – egyelőre

A hivatalos tájékoztatás szerint egyelőre nem áll rendelkezésre információ arról, hogy a támadók a lemásolt adatokat nyilvánosságra hozták volna. A nyomozás jelen szakaszában nem állapítható meg, hogy a rendszer teljes adattartalma kiszivárgott-e, és ha igen, milyen formában jutott az elkövetők birtokába.

Azonnali válaszintézkedések

Az Oktatási Hivatal a támadás észlelését követően azonnali biztonsági intézkedéseket vezetett be, hogy megakadályozza a további adatvesztést és biztosítsa az érettségi vizsgák zavartalan lebonyolítását:

  • korlátozták a rendszerek hozzáféréseit
  • elrendelték a belső adatkezelési protokollok felülvizsgálatát
  • informatikai audit indult a Belügyminisztérium közreműködésével
  • a Nemzeti Kibervédelmi Intézet (NKI) technikai elemzést folytat

A hivatal kiemelte: a vizsgák lebonyolítását a támadás nem akadályozza, és minden vizsgaidőszak a megszokott rend szerint zajlik.

A sértettek később kapnak tájékoztatást

Az Oktatási Hivatal közölte: azok a személyek, akiknek adataihoz a támadók hozzáfértek, a későbbiekben egyéni tájékoztatást kapnak. A hivatal emellett külön e-mail-címet is megadott azoknak, akik további információt szeretnének kérni: adatvedelem@oh.gov.hu

Nem tudni mi a céljuk: a „Paprika Csapat” és a zsarolásgyanú

A támadás hátterében a magát „Paprika Csapatnak” nevező, eddig ismeretlen elkövetői csoport állhat, amely e-mailben tájékoztatta az Oktatási Hivatalt az adatlopás tényéről, és „tárgyalást” kezdeményezett a kiszivárgott adatokkal kapcsolatban. A hatóságok ezt zsarolási kísérletként értékelték, és az ügyben nyomozást indítottak.

A Belügyminisztérium álláspontja szerint:

„A zsarolás minden formáját elutasítjuk, nem bocsátkozunk tárgyalásokba.”

A digitális közszolgáltatások sérülékenysége

Az eset újabb figyelmeztetés arra, hogy a közintézmények által üzemeltetett digitális rendszerek milyen mértékben vannak kitéve célzott kibertámadásoknak – különösen, ha nagy mennyiségű érzékeny személyes adatot kezelnek. Szakértők szerint a mostani incidens az egyik legsúlyosabb hazai kiberbiztonsági esemény az elmúlt években.

(forrás)