Telex: A fejlesztőcég megpróbálta eltussolni a KRÉTA feltörését
2022. november 09. 10:19
A Telex nyomán hétfőn mi is megírtuk, hogy hekkerek teltörték a 8 milliárd forintból kifejlesztett KRÉTA-rendszert. A támadók a közoktatás minden intézményében kötelezően használt állami adminisztrációs rendszer szinte minden adatához hozzáférhettek, így a diákok személyes adataihoz is, de nemcsak ezeket, hanem a cég más adatbázisait és a forráskódokat, illetve a fejlesztők belső kommunikációját is megszerezték.
Már akkor jeleztük: különösen aggályos, hogy a támadás megtörténtét egyelőre egyik érintett szereplő (eKRÉTA Zrt., Nemzeti Infokommunikációs Szolgáltató Zrt., Klebelsberg Központ) sem jelentette be, holott az uniós GDPR szabályok alapján erre az adatkezelőnek 72 óra áll a rendelkezésére.
A cikk megjelenését követően az egyik hekker megkereste a Telexet. Állítása szerint akciójukkal a magyar rendszerek rossz állapotát akarták bemutatni, és a támadással problémák ellen titlakoztak. Személyes adatokat viszont nem tesznek közzé, mert nem akarnak ártani a diákoknak. Az általa küldött bizonyítékokból az is kiderült, hogy a cégen belül már akkoriban tudomást szereztek arról, hogy illetéktelen hozzáférés történt, és egymás között arról beszéltek, hogyan lehetne elkenni a történteket:
„Vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség”
– írta egyikük. A Telexnek nyilatkozó kiberbiztonsági szakértő szerint a nyilvánosságra került információk alapján a fejlesztőcégnél súlyos biztonsági mulasztások merülnek fel. Szerinte ez lehet a GDPR-éra legdurvább adatvédelmi incidense. Az adatvédelmi szakértő szerint súlyosbító körülmény lehet, hogy a cég senkinek nem szólt a történtekről.
Hasonló célokkal törte fel egy etikus hekker 2017-ben a BKK online jegyértékesítő rendszerét. Elmondása szerint az akcióval egyetlen célja a biztonsági rések feltárása volt, és erről értesítette is a céget. Ennek ellenére a a fiút az éjszaka közepén kihallgatásra hurcolták el a rendőrök. (A fejlett országokban többnyire bevett gyakorlat, hogy ha egy cég valamilyen rendszerében egy etikus hekker biztonsági rést talál, és ezt jelzi a cégnek, akkor köszönetet és szerződéses keretek között még pénzt is kap. A BKK azonban egy másik utat választott, és rossz szándékú hekkerként kezelték a biztonsági rést találó és jelző fiatalt.) Az ügy végül megoldódott, az ügyészség nem emelt vádat, mert elfogadta a Társaság a Szabadságjogokért ügyvédjének érvelését, miszerint az etikus hekker célja a biztonsági rés feltárása és ennek közlése volt a BKK felé. A cég végül - feltehetően az esetet követő közfelháborodás miatt - bocsánatot kért a fiútól, a a T-Systems német anyacége pedig elhatárolódott magyarországi leányvállalatától.
