Illetéktelenek szerezhettek adatokat a KRÉTA rendszeréből
A diákok összes, a KRÉTA-ban kezelt adata kiszivároghatott a Telex forrásai szerint egy projektvezető átverése után, de a Nemzeti Adatvédelmi és Információszabadság Hatósághoz nem érkezett bejelentés adatvédelmi incidensről.
A Telex forrásai szerint néhány hete adathalász-támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t, melynek során a támadó jogosulatlanul fért hozzá a közoktatás minden intézményében kötelezően használt adminisztrációs rendszer adataihoz. A lap információ szerint a kiszivárgott adatok közt lehetnek valamennyi diák összes, a KRÉTA-ban kezelt adatai, a cég más adatbázisai és forráskódjai, illetve a fejlesztők belső kommunikációja, amit névtelen források az eKRÉTA Zrt.-n belül is megerősítettek.
A belsős elmondások szerint a szeptemberre datálható támadás sikeressége annak köszönhető, hogy egy projektvezető fertőzött linkre kattintott egy átverős emailben, a támadók az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elérhettek a cég rendszerein belül.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Kovács Gábor, a KRÉTA korábbi fejlesztési vezetője, a KRÉTA rendszer működését jól ismerő szakember a Telexnek elmondta: technikailag megoldható, hogy a források állításaiban szereplő, kiterjedt hozzáférést megszerezhessék a támadók, mivel ha bár az adatbázisban titkosítva is vannak tárolva az adatok, a megfelelő belépési azonosító és a jelszó birtokában hozzáférhetők.
A KRÉTA a diákok és a tanárok szinte minden adatát tartalmazza valamilyen moduljában, a taj-számok és más személyes adatok vagy a jegyek, intőkön túl érzékenyebb adatokat is tartalmazhat, mint a különféle fogyatékosságokra, magatartászavarokra vonatkozó információk, vagy felmentések, igazolások, egészségügyi adatok, a pedagógusok és alkalmazottak HR-adatai, az intézmény iktatott dokumentumai, akár költségvetése. Adatvédelmi szempontból az aggasztó, hogy a fentiek fényében egészen részletes profil állítható fel egy-egy diákról.
A Telex a cikk megjelenése előtt nem kapott válaszokat az eKRÉTA Zrt.-től a támadással kapcsolatban, és nem járt sikerrel sem a Nemzeti Infokommunikációs Szolgáltató Zrt.-nél (NISZ), valamint a Klebelsberg Központnál sem. Az Országos Rendőr-főkapitányságtól (ORFK) kapott tájékoztatás szerint kimondottan adatszivárgás miatt nem indult büntetőeljárás, de augusztus elseje óta „a KRÉTA rendszert érintően elkövetett bűncselekmények gyanúja miatt” négy bűntetőeljárás indult.
Ahogy a lap kiemeli: az adatvédelmi incidenseket az Európai Unió adatvédelmi rendelete, a GDPR értelmében az adatkezelő köteles alapesetben 72 órán belül bejelenteni. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)-hoz a cikk megjelenése előtti három hónapban nem érkezett a KRÉTA közoktatási rendszert, illetve az eKRÉTA Zrt.-t érintő bejelentés adatvédelmi incidensről.