Feltörték a Kréta-rendszert, mind a diákok, mind az intézmények adatai illetéktelen kezekbe kerülhettek

Mivel sikeres volt a támadás, így az elkövető minden, a rendszerben található információhoz hozzáférhetett – olyanokhoz is, amelyek különösen érzékenyek. Nyomozás nem indult az ügyben.

Bármit megtudhattak

A támadók valamennyi diák összes, a KRÉTA-ban kezelt adata kiszivároghatott, de nemcsak ezekhez, hanem a cég más adatbázisaihoz és a forráskódokhoz, illetve a fejlesztők belső kommunikációjához is hozzáférhettek. Fertőzött linkre egy átverős emailben az egyik projektvezető, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül.

Multifunkcionális rendszer

A KRÉTA szélesebb körben elsősorban e-naplóként ismert, de mára egy komplett közoktatási informatikai rendszerré duzzadt. Összesen húszféle modul és különféle alkalmazások tartoznak hozzá, többek között olyan szolgáltatásokkal, mint az az e-napló, e-ellenőrző, intézményi adminisztrációs rendszer, digitális kollaborációs tér, e-ügyintézés, illetve egészségüggyel, étkeztetéssel, gazdálkodással, HR-ügyekkel kapcsolatos adminisztráció.

A fogyatékosságok és személyiségzavarok is rögzítve vannak

A KRÉTA a diákok és a tanárok szinte minden adatát tartalmazza valamilyen moduljában, a taj-számok és más személyes adatok vagy a jegyek, intők a triviális kategória. Ezen felül a tanulók fogyatékosságai, magatartászavarai, a felmentések, az igazolások, az egészségügyi adatok, a pedagógusok és más alkalmazottak HR-adatai, az intézményi költségvetések is hozzáférhetővé váltak.

Könnyen elképzelhető, hogy ez történt

A rendszer korábbi fejlesztési vezetője, Kovács Gábor szerint valóban megtörténhetett a szeptemberi támadás: ha az adatok az adatbázisban titkosítva is vannak tárolva, ám megvan a megfelelő belépési azonosító, a jelszavakat kivéve a diákok adatait tényleg meg lehet szerezni.

A rendőrség egyelőre nem vizsgálja

Az adatvédelmi incidenseket az Európai Unió adatvédelmi rendelete, a GDPR értelmében az adatkezelő köteles alapesetben 72 órán belül bejelenteni. A Nemzeti Adatvédelmi és Információszabadság Hatóság sem reagált arra a kérdésre, miszerint érkezett-e hozzájuk az elmúlt három hónapban a KRÉTA közoktatási rendszert, illetve az eKRÉTA Zrt.-t érintő bejelentés adatvédelmi incidensről – írta a Telex.

(Kiemelt kép: MT/Varga György.)