KRÉTA rendszer feltörése
KRÉTA rendszer feltörése

A nagy KRÉTA lopás

Adatvédelmi incidens a KRÉTA rendszerben: Figyelmeztetik a szülőket

Az elmúlt napokban komoly adatvédelmi incidens rázta meg a magyar közoktatási rendszert: lopott KRÉTA-jelszavak szivárogtak ki. A szülőknek figyelmeztetést küldtek a közoktatási rendszeren keresztül. A Telex értesülése szerint az incidens több iskolát és azok felhasználóit is érintette. Az érintett felhasználók az alábbi tartalmú üzenetet kapták meg:

Tisztelt Felhasználó! Tájékoztatjuk, hogy az Ön felhasználói jelszava adatvédelmi incidensben lehet érintett. Illetéktelenek megpróbálhatnak a nevében belépni a KRÉTA fiókjába.

A levélben a KRÉTA fejlesztője, az Educational Development Informatikai Zrt. (EduDev) arról értesítette az érintett iskolákat és szülőket, hogy a Nemzeti Kibervédelmi Intézet (NKI) vizsgálata alapján KRÉTA-s felhasználónevek és jelszavak kerülhettek ki az internetre. Ezen adatok birtokában illetéktelenek akár sikeresen is megpróbálhatnak belépni az érintett felhasználók fiókjába, kihasználva a megszerzett információkat.

Az Incidens háttere és részletei

A KRÉTA (Köznevelési Regisztrációs és Tanulmányi Alaprendszer) a magyar közoktatási intézmények által széles körben használt online rendszer, amely lehetővé teszi a tanulók, tanárok és szülők számára a diákok tanulmányai, házi feladatai nyomon követésében. Az adatvédelmi incidens felfedezése komoly aggodalmat keltett az érintett diákok és szülők körében.

Az incidens nyomán a KRÉTA fejlesztője, az EduDev, azonnal kapcsolatba lépett az érintett iskolákkal és szülőkkel, és a szükséges biztonsági intézkedések megtételére kérték őket. A levélben kiemelték, hogy a felhasználóknak nem feltétlenül törték fel a fiókját, hanem az incidens során illetéktelenek olyan belépési adatokat szereztek meg, amelyekkel megpróbálhatnak belépni a felhasználók nevében. Erről a fajta adathalász csalási módszerről itt írunk bővebben.

Ajánlott Intézkedések a Felhasználók Számára

Az EduDev azonnali jelszócserét javasolt minden érintett felhasználó számára, hogy minimalizálják a visszaélések kockázatát. A jelszócsere mellett ajánlották a kétfaktoros hitelesítés (2FA) bekapcsolását, amely további védelmi réteget biztosít a fiókok számára. A kétfaktoros hitelesítés során a felhasználónak nemcsak a jelszavát kell megadnia, hanem egy második, általában mobiltelefonra küldött kódot is, ami jelentősen megnehezíti az illetéktelen hozzáférést.

Továbbá, a felhasználókat arra is figyelmeztették, hogy ellenőrizzék érzékeny fiókadataikat, például a megadott bankszámlaszámokat és más személyes információkat, hogy megbizonyosodjanak arról, nem történt-e visszaélés.

A Nemzeti Adatvédelmi és Információszabadság Hatóság Lépései

Az adatvédelmi incidensről az érintett szervezetek a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) is bejelentést tettek. A NAIH vizsgálata és intézkedései további biztosítékot nyújthatnak arra, hogy az ilyen jellegű incidensek megelőzhetők legyenek a jövőben.

Korábbi Incidensek és Jelenlegi Következmények

Nem ez az első alkalom, hogy a KRÉTA rendszer biztonsági problémákkal küzd. 2022 szeptemberében egy jelentős hekkertámadás érte az EduDev-et, amelynek következményeként a NAIH 110 millió forintos bírságot szabott ki a cégre. Az akkori támadás is komoly zavart okozott a rendszerben, és rámutatott a KRÉTA biztonsági intézkedéseinek hiányosságaira.

A mostani incidens tovább növelte az aggodalmat a rendszer biztonsága iránt, és rámutatott arra, hogy további fejlesztésekre és szigorúbb biztonsági intézkedésekre van szükség. Az EduDev ígéretet tett arra, hogy fokozott figyelmet fordítanak a rendszer biztonságának növelésére, és együttműködnek a Nemzeti Kibervédelmi Intézettel a hasonló esetek megelőzése érdekében.

Jövőbeli Kilátások és Felhasználói Bizalom

A felhasználói bizalom visszaszerzése és fenntartása érdekében az EduDev-nek átfogó biztonsági auditokat kell végrehajtania, és biztosítania kell a felhasználókat arról, hogy adataik a lehető legnagyobb biztonságban vannak. Az ilyen jellegű incidensek rávilágítanak arra, hogy a digitális oktatási rendszerekben mennyire fontos a folyamatos biztonsági fejlesztés és a felhasználók megfelelő tájékoztatása.

A jövőben a felhasználók számára is fontos lesz, hogy tudatosabban kezeljék digitális biztonságukat. Az erős, egyedi jelszavak használata, a kétfaktoros hitelesítés bekapcsolása, és az érzékeny adatok rendszeres ellenőrzése mind hozzájárulhatnak a személyes adatok védelméhez.

Az adatvédelmi incidens, amely során lopott KRÉTA-jelszavak kerültek nyilvánosságra, komoly figyelmeztetés mind az oktatási intézmények, mind a felhasználók számára. Az azonnali jelszócsere, a kétfaktoros hitelesítés bevezetése, és a rendszeres biztonsági ellenőrzések mind olyan lépések, amelyek segíthetnek megelőzni a hasonló eseteket a jövőben. Az EduDev és az NKI közötti együttműködés pedig biztosítékot nyújthat arra, hogy a KRÉTA rendszer továbbfejlesztése és biztonságának növelése prioritást élvezzen, ezzel is védve a felhasználók adatait és bizalmát.