„Szeptemberben hekkerek egy csoportjának adathalász módszerekkel sikerült bejutnia az eKRÉTA Zrt. rendszereibe, így hozzáférést szereztek a magyar közoktatásban használt teljes informatikai rendszerhez is. A támadók kedd délután közzétették a szoftver teljes forráskódját, ami alapján bárki kiaknázhatja annak sebezhetőségeit.
A Telex.hu hétfőn számolt be róla, hogy szeptemberben hekkereknek egy trójai vírus segítségével sikerült bejutniuk az eKRÉTA Zrt. rendszereibe, így többek között teljes hozzáférést szereztek a magyar közoktatásban kötelezően használt állami adminisztrációs rendszerhez, a KRÉTA-hoz (Köznevelési Regisztrációs és Tanulmányi Alaprendszer) is. Ez azt jelenti hogy a hekkerek számára elérhetővé váltak a diákok személyes adatai, az intézmények dolgozóival kapcsolatos információk és gazdálkodásával kapcsolatos adatok is. A hekkerek a személyes adatokon, jegyeken kívül olyan érzékeny információkhoz is hozzáfértek, mint a tanulók egészségügyi adatai, a fogyatékossággal kapcsolatos információkat is beleértve.
A Telegramon Sawarim$ néven kommunikáló hekkerek szerdán, nem sokkal délután fél 5 után közzétették a szoftver forráskódját, amihez azóta is bárki szabadon hozzáférhet. Hogy ez mit jelent a gyakorlatban, arról Makay József kiberbiztonsági szakértőt, a Makay.net tulajdonosát kérdeztük, aki a következőt válaszolta a kérdésünkre:
„A forráskódban olyan sérülékenységek azonosíthatók be, amiket külső sérülékenységvizsgálattal jóval időigényesebben és erőforrás-igényesebben lehet csak megismerni. Mivel a forráskódot végül publikálták, jóval egyszerűbbé és gyorsabbá (egy-két nap) vált az olyan támadó kódok kifejlesztése, amik kompromittálhatják a rendszer működését és a benne kezelt adatokat, méghozzá egyetlen kattintással, akár laikusok által is elvégezve.”
Arra a kérdésünkre, hogy ez azt jelenti-e, hogy a bárki hozzáférhet az összes magyar tanuló adataihoz, a szakértő azt válaszolta, hogy ha olyan sérülékenységet találnak a forráskódban, ami egyszerűen kihasználható, akkor lényegében bárki hozzáférhet a szenzitív adatokhoz, azonban a szolgáltatást időközben leállították, és megkezdték a javítást, ezzel pedig csökkent az esélye, hogy támadók a távolból ki tudjanak használni egy kritikus sérülékenységet.
A Telex szerdán arról számolt be, hogy a hekkercsoport egyik tagja felvette velük a kapcsolatot, és bizonyítékokat mutatott be azzal kapcsolatban, hogy az eKRÉTA Zrt.-nél már korábban tudtak róla, hogy a rendszerük kompromittálódott, azonban ezt egészen a hétfői cikk megjelenéséig igyekeztek titokban tartani. A nemzetközi szinten körülbelül 110 fős, Magyarországon pedig 4 taggal működő hekkercsoport a lapnak nyilatkozó tagja azt mondta, hogy az akciójukkal arra akarták felhívni a figyelmet, hogy mennyire elmaradott a magyar informatikai rendszer, ám személyes adatokat nem fognak kirakni, mert nem a diákoknak akarnak ártani.
Frissítés, 2022. 11. 09, 23.11: Az KRÉTA rendszer a cikk írásakor elérhetetlen volt, jelenleg viszont működik. Megkérdeztük a fejlesztőt, hogy a leállás összefüggésben volt-e a forráskód kiszivárgásával valamint hogy kijavították-e a hibákat. Amit válaszolnak, frissítjük a cikket.”
Forrás:
Nyilvánosan közzétették a magyar közoktatásban használt informatikai rendszer forráskódját; Bobák Áron; Rakéta.hu; 2022. november 9.
Lásd még a Telex.hu részletes elemzéseit:
Feltörhették a KRÉTA-t, a diákok adatai is kiszivároghattak; Bolcsó Dániel; Telex.hu; 2022. november 7.
A fejlesztőcég megpróbálta elhallgatni a KRÉTA feltörését ; Bolcsó Dániel; Telex.hu; 2022. november 9.
KRÉTA-ügy: Aggasztó a kiszivárgott forráskód, de arra utal, hogy a hekkerek nem mindenhez fértek hozzá ; Bolcsó Dániel; Telex.hu; 2022. november 11.
