Még 2022 novemberében, a Telex cikke nyomán derült fény arra, hogy két hónappal korábban ismeretlen elkövetők feltörték a Köznevelési Regisztrációs és Tanulmányi Alaprendszert, vagyis a KRÉTA-t, potenciálisan több millió magyar diák, szülő és oktatási dolgozó személyes adataihoz férve hozzá. A Nemzeti Adatvédelmi és Információszabadság Hatóság már akkor nyomozást indított az ügyben, ami időközben le is zárult, ám az eredménye csak most vált ismertté, ugyancsak nem hivatalos úton, hanem a Telexen keresztül.
A NAIH ugyanis nem adott ki közleményt az ügyben, egy olvasó viszont potenciálisan érintett magánszemélyként tájékoztatást kapott a hatóságtól, majd eljuttatta azt a laphoz, feltárva, hogy milyen súlyos hiányosságok vezettek a behatoláshoz.
A legfontosabb, hogy az időközben már Educational Development Informatikai Zrt. néven tevékenykedő üzemeltetőre, az egykori eKréta Zrt.-re 110 millió forintos bírságot szabott ki a NAIH, miután úgy találta, hogy a cég nem biztosított kellő védelmet a rábízott személyes adatoknak, illetve a támadás felismerése után sem jelentette "indokolatlan késedelem nélkül" a történteket.
Az Európai Unió adatvédelmi irányelvei (GDPR) alapján meghatározott büntetés ugyan a magyar viszonyok között talán nem tűnik kevésnek, a Telex azonban rámutatott, hogy az összeg az üzemeltető 2022-ben jelentett 8,43 milliárd forintos árbevételének csupán 1,3 százalékát teszi ki. A bírság megfizetése ráadásul még csak nem is biztos, a NAIH tájékoztatásából ugyanis kiolvasható, hogy a vállalat peres úton támadta meg a döntést.
Ami a kár nagyságát illeti, az adatvédelmi hatóság kérésére a társaság elismerte, hogy 12 szakképzési centrumhoz kapcsolódóan összesen 8574 tanuló 290 ezer adata, valamint 11 082 gondviselő 44 ezer adata és 1205 alkalmazott 35 ezer adata egészen biztosan rossz kezekbe került, a NAIH szerint viszont az üzemeltető nem tudta hitelt érdemlően bizonyítani, hogy ez nem történt meg a KRÉTA összes többi felhasználójával is.
Ez a gyakorlatban azt jelenti, hogy akár 1,5 millió diák, valamint 1,87 millió gondviselő és 225 ezer alkalmazott adatait is kiszivároghattak, melyek kapcsán a hatóság felhívta rá a figyelmet, hogy a potenciálisan érintett állományok kifejezetten érzékeny információkat is tartalmaznak például arra vonatkozóan, hogy egy adott illető küzd-e bizonyos tanulási és beilleszkedési nehézségekkel, részesül-e szociális támogatásban, kap-e rendszeres gyermekvédelmi kedvezményt és így tovább. Itt érdemes kiemelni, hogy az üzemeltető még 2022 decemberében is azt állította, hogy a hackerek nem jutottak hozzá személyes információkhoz, holott ekkor még az a privát nyomozás sem zárult le, amit ennek kiderítésére rendelt meg a cég. Mindemellett pedig az oktatási platform 3 moduljának forráskódja is kiszivárgott, 90%-os egyezéssel, ami a továbbiakra nézve is súlyos biztonsági kockázatot jelenthet.
A NAIH jelentése emellett a támadás és annak kezelésének botrányos körülményeiről is lerántja a leplet. A behatolók egy adathalász e-mail segítségével szereztek hozzáférést az egyik alkalmazott profiljához, amelyre reagálva az eKréta lecserélte annak fiókját és számítógépét, új jelszavakat adva neki. Csakhogy az illető ezeket a Google fiókjába is szinkronizálta, s mivel ahhoz a hackerek már korábban hozzáfértek, nem sikerült kizárni őket az intézkedésekkel. A hatóság szerint súlyos adatvédelmi hiba, hogy egy ilyen magas jogosultságokkal rendelkező felhasználó a Google-nél tarthatta a jelszavait, s a cég nem vetett be helyi titkosítást kínáló profi jelszókezelőt.
A NAIH rámutatott, hogy az egész eset megakadályozható lett volna, ha ez eKréta legalább az érzékeny adatokat tartalmazó belső rendszereinél alkalmazza a többfaktoros hitelesítést, ám a vállalat ezt sem tette meg. A vizsgálat ezen eredménye különösen bizarr, hiszen a kétlépcsős azonosítás már egy kimondottan régi és alapvető védelmi megoldásnak számít a kiberbiztonságban, amelynek elhagyása még egy magánszemélytől is óriási felelőtlenségre utal, nem beszélve egy emberek millióiért felelős platform kezelőjétől. Nem ez viszont az első hasonló botrány az állami feladatokat ellátó informatikai rendszerek kapcsán, hiszen korábban az elektronikus Nemzeti Konzultációról bizonyosodott be, hogy még az ősrégi Captcha-ellenőrzést sem használja, így botokkal is kitölthető.
A helyzetről sokat elmond az adatvédelmi hatóság értékelése, amely alapján a KRÉTA üzemeltetője "könnyelműen bízott a támadások elmaradásában, és […] a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan, a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott". Akit a NAIH további megállapításai is érdekelnek, a Telex cikkében részletesen tájékozódhat az esetről, amelyben egyébként továbbra is zajlik a rendőrségi nyomozás.
