2023.02.06., hétfő - Dóra, Dorottya
Eger: -2o - -2o
Az ország 19 megyéjében

Feltörhették a Kréta rendszerét, az összes diák minden adata kiszivároghatott

frisshirek.hu, 2022. november 07. - 11:43
Feltörhették a Kréta rendszerét, az összes diák minden adata kiszivároghatott
Néhány héttel ezelőtt sikeres adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a Kréta fejlesztőcégét – írta meg a Telex. Az illetéktelen hozzáférést szerezhetett a közoktatás minden intézményében kötelezően használt adminisztrációs rendszer adataihoz. Olyanokhoz is, amelyek alapján rendkívül részletes profil is alkotható lenne egy-egy diákról.

A frisshirek.hu portál pont az a média hiány, ami egy működő demokráciában természetes kellene legyen, éspedig elfogulatlan, naprakész hírek közvetítője közéletről, politikáról, kultúráról, sportról egyaránt. Nálunk nincs és nem is lesz részrehajlás! Hogy ez így is maradjon, kérlek támogasd munkánkat adományoddal, hívd meg ismerőseid, hogy olvassanak bennünket és kerünk, kövess és lájkolj minket a közösségi médiában is.

Támogatás
Néhány héttel ezelőtt adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a Kréta fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t

– írta meg a Telex.

A lap értesülését megerősítette egy cégen belüli, névtelenséget kérő forrás. Azt is, hogy

a támadás sikeres volt.

Így a támadó illetéktelen hozzáférést szerezhetett a közoktatás minden intézményében kötelezően használt adminisztrációs rendszer adataihoz.

A Telex úgy tudja,

valamennyi diák összes, a Kréta-ban kezelt adata kiszivároghatott.

Ám nemcsak ezekhez, hanem a cég más adatbázisaihoz és a forráskódokhoz, illetve a fejlesztők belső kommunikációjához is hozzáférhettek.

A lap informátora szerint

egy projektvezető kattintott egy fertőzött linkre egy átverős emailben.

Az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül.

Az eset még szeptemberben történt.

Amint azt a Telex megírta, a Kréta elsősorban e-naplóként ismert, de mára egy komplett közoktatási informatikai rendszerré duzzadt. Húszféle modul mellett különféle alkalmazások tartoznak hozzá, többek között olyan szolgáltatásokkal, mint az e-napló, e-ellenőrző, intézményi adminisztrációs rendszer, digitális kollaborációs tér, e-ügyintézés, illetve egészségüggyel, étkeztetéssel, gazdálkodással, HR-ügyekkel kapcsolatos adminisztráció.

A lap megkereste a Kréta korábbi fejlesztési vezetőjét, Kovács Gábort, akinek a konkrét esetről nincs tudomása, magát a rendszer felépítését és a fejlesztési folyamatot viszont ismeri. 

Technikailag megoldható, hiszen ha az adatok az adatbázisban titkosítva is vannak tárolva, ám megvan a megfelelő belépési azonosító, a jelszavakat kivéve a diákok adatait valóban meg lehet szerezni. Szóval igen, én reálisnak tartom

– szögezte le a szakember.

Kovács Gábor hozzátette: sok mindenhez hozzáférhettek az illetéktelenek. A taj-számok és más személyes adatok vagy a jegyek, intők még a „triviális kategória”, de ennél érzékenyebb – vagy egyenesen minősített – adatok is elérhetők.

Például

  • a diákok fogyatékosságai, magatartászavarai,
  • felmentések,
  • igazolások,
  • egészségügyi adatok,
  • pedagógusok és más alkalmazottak HR-adatai,
  • intézmények költségvetése, gazdálkodása, iktatott dokumentumai.

Kovács Gábor a Telexnek azt mondta: ami adatvédelmi szempontból különösen aggasztó lehet, hogy a fenti adatok alapján

egészen részletekbe menő profil is alkotható lenne egy-egy diákról.

A lap az ügyben többször is kereste az eKRÉTA Zrt.-t emailben és telefonon is – először jó egy hónapja –, de egyik megkeresésükre sem érkezett semmilyen válasz.

Illusztrációs fotó: Pixabay