Magyarország történetének talán legsúlyosabb kibertámadási ügye van kibontakozóban, miután a Telex napokkal ezelőtt nyilvánosságra hozta, hogy egy hackercsoport még szeptemberben feltörte a hazai közoktatás online alapplatformját, a KRÉTA-t (Köznevelési Regisztrációs és Tanulmányi Alaprendszer), amellyel 1,7 millió diák személyes adataihoz szerezhettek hozzáférést az elkövetők.
Mint kiderült, az üzemeltető eKRÉTA Informatikai Zrt. erről a nyilvánosságot és az illetékes Nemzeti Adatvédelmi és Információszabadság Hatóságot sem tájékoztatta, megszegve a GDPR adatvédelmi szabályozását, amely 72 órán belüli bejelentést ír elő. A NAIH ugyan azóta vizsgálatot indított, az események azonban még korántsem értek véget.
A támadás mögött álló Sawarim$ hackercsoport ugyanis szerdán nyilvánosságra hozta a KRÉTA forráskódját, lehetővé téve a hozzáértők számára, hogy további gyenge pontokat keressenek a platformon. A Telegramon kommunikáló elkövetők pedig azt is kilátásba helyezték, hogy csütörtökön közzétesznek egy konkrét sérülékenységet, ám végül inkább ultimátumot adtak az üzemeltetőnek.
"A karbantartás után le fogjuk tesztelni. Ha az exploit még most is működik, küldeni fogunk az eKRÉTA Zrt.-nek egy hivatalos hibabejelentős levelet. Ha szombat 23:59-re nem kapunk választ (még csak egy sima visszaigazolást sem, hogy megkapták a levelet) akkor GitHub-ra az exploitot publikusan fel fogjuk tölteni."
- írják a közel 2500 követővel rendelkező csoportban, így most az eKRÉTA-nál pattog a labda, legalábbis ha a Sawarim$ tartja a szavát. A Telexnek egyébként időközben sikerült beszélnie a csoport egyik képviselőjével, aki elmondta, hogy egy kb. 110 fős nemzetközi hackerközösség 4 személyes magyar egységeként dolgoznak, és van köztük kiskorú tag is. A támadás célját érintően pedig a következő nyilatkozatot adta a forrás:
"Mondhatnám, hogy a magyar rendszerek bemutatása, hogy mennyire hanyag és hogy mennyire "fejlett" ez az egész. Meg persze olyat is szerettünk volna, hogy például nem rakjuk ki az adatokat, ha a pedagógusok bérét megnövelik, stb. De ebből semmi sem lett, láthatod. Csak szivárogtatás, és helló."
A hacker emellett azt is megosztotta, hogy nem terveznek személyes adatokat nyilvánosságra hozni, "mert nem vagyunk olyanok, hogy tessék, itt van minden kiskorú és tini adata".
