:

KRÉTA-ügy: a hackerek nyilvánossá tették a rendszer forráskódját

KRÉTA-ügy: a hackerek nyilvánossá tették a rendszer forráskódját

Nyilvánossá vált a KRÉTA forráskódja, a rendszert korábban feltörő hackerek november 9-én közzétették az interneten az állami adminisztrációs rendszer kulcsfontosságú részét.

Ezzel újabb fejezetéhez érkezett a GDPR-éra legnagyobb hazai botránya. Hétfőn kiderült, hogy néhány hete sikeres adathalász-támadást hajtottak végre a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcége, az eKRÉTA Informatikai Zrt. ellen.

Ennek eredményeként a támadók illetéktelen hozzáférést szereztek a közoktatás minden intézményében kötelezően használt adminisztrációs rendszer adataihoz. Ezt követően arra is fény derült, hogy a fejlesztőcég el akarta kenni az ügyet, és nem értesítette időben a hivatalos szerveket az adatszivárgás tényéről.

A támadásban résztvevő egyik hacker jelezte, akciójukkal a magyar rendszerek rossz állapotát akarták bemutatni, és így tiltakoznak a problémák ellen, de személyes adatokat nem tesznek közzé, mert nem akarnak ártani a diákoknak. Ettől függetlenül szerdán mégis nyilvánosságra hozták a KRÉTA forráskódját egy Telegram-csoportban.

A lapunknak nyilatkozó IT Infrastruktúra szakértő, Szöllősi Gábor szerint a közzététel azért problémás, mert a forráskódot elemezve akárki támadhatja a KRÉTÁT, így innentől a diákok és tanárok személyes adatai még nagyobb veszélyben vannak.

A szakember hozzátette: a közzététel már szerzői jogi kérdéseket is felvet.

A Telexnek nyilatkozva a fentebb említett hacker elmondta, egy általuk írt kártevő programot, egy úgynevezett RAT-et (távoli hozzáférést biztosító trójai programot) alkalmaztak a támadáshoz, méghozzá úgy, hogy az a cég minden vírusirtóján és védelmi szoftverén észrevétlenül átjutott.

A trójait a KRÉTA üzenetküldő rendszerén keresztül terjesztették: kiválasztottak minden adminisztrátort, és egy megtévesztő adathalász (phishing) emailben, magukat másnak kiadva küldték el a kártevő letöltéséhez szükséges linket, olyasminek álcázva, ami felkeltheti a célba vett adminisztrátorok érdeklődését.

Az adatvédelmi incidenseket alapesetben az Európai Unió adatvédelmi rendelete, a GDPR értelmében az adatkezelő köteles alapesetben 72 órán belül bejelenteni. A KRÉTA adatkezelési tájékoztatója szerint azonban a közoktatási rendszer tekintetében nem a fejlesztő eKRÉTA Zrt. az adatkezelő, hanem az azt használó intézmények, a fejlesztőcég pedig adatfeldolgozónak számít.

A jogszabály szerint tehát a cégnek a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé közvetlen bejelentési kötelezettsége a KRÉTA-rendszerrel kapcsolatban nincs, de az adatkezelő intézményeket értesítenie kell. Bár a botrány hétfői kirobbanásakor még nem folyt vizsgálat, a Nemzeti Adatvédelmi és Információszabadság Hatóság közölte: hivatalból eljárást indított. Az eljárás lezárásáig további információt nem adnak.

The post KRÉTA-ügy: a hackerek nyilvánossá tették a rendszer forráskódját first appeared on 24.hu.

Hirdetés

Cimkék

Keresés