Több szülő nem tudott belépni csütörtök este a KRÉTA-ba, azaz a Köznevelési Regisztrációs és Tanulmányi Alaprendszerbe. Van, akinél az oldal frissítésre hivatkozik, és azt írja, hamarosan újra elérhetővé válik a rendszer, másnak azt írja, hogy karbantartás alatt van. A Telex írta meg hétfőn, hogy hekkerek még szeptemberben feltörték a KRÉTA-t, és adatok szivároghattak ki, majd szerda este a hekkerek a rendszer forráskódjának egyes részeit is nyilvánosságra hozták, csütörtök estére pedig további szivárogtatást ígértek, ezért sokan arra gyanakodtak, hogy ők állhatnak a rendszer csütörtök esti leállása mögött.
Az egyik hekker azonban lapunknak megerősítette: most nem ők állnak az oldal leállása mögött.
Úgy tudjuk, a KRÉTA-t általában az esti órákban szokták frissíteni a fejlesztők. Mivel a frissítés alatt a rendszer valóban elérhetetlenné válik, jellemzően a mostaninál későbbi időpontban, 22 óra környékén szokták kitenni a frissítéseket, általában kéthetente. Azt nem tudni, hogy mi indokolta a szokottnál korábbi frissítést, és ennek a KRÉTA körül a héten kirobbant ügyhöz van-e bármi köze.
Bár a csütörtök esti leálláshoz állításuk szerint nincs közül a támadóknak, korábban ők is csütörtök estére ígérték, hogy közzétesznek egy exploitot, azaz olyan kódot, amely lehetővé teszi a rendszer valamilyen sérülékenységének a kihasználását. Ez új szint lenne az ügyben, mert a Telexnek korábban nyilatkozó hekker azt mondta, alapvetően a rendszer hiányosságaira akarják felhívni a figyelmet, ezért személyes adatokat nem is tesznek közzé, mert nem akarnak ártani a diákoknak. Egy exploit publikálása viszont közvetlen kárt okozhatna a rendszer felhasználóinak azzal, hogy megkönnyíti a KRÉTA feltörését más támadóknak.
Csütörtökön este fél nyolc körül azonban a hekkerek új üzenettel jelentkeztek a Telegram-csatornájukon, amelyben azt írták, a karbantartás után fogják tesztelni az exploitot, viszont ha az továbbra is működik, nem fogják rögtön közzétenni, hanem előbb elküldik a rendszert fejlesztő eKRÉTA Zrt.-nek, és szombat 23:59-ig adnak időt a cégnek, hogy javítsa a hibát vagy jelezze, hogy erre készül. Ha ez nem történik meg, akkor viszont közzéteszik a kódot – állítják:
A hétfői cikkünk megjelenése után a Nemzeti Adatvédelmi és Információszabadság Hatóság hivatalból eljárást indított az ügyben. Szerdai második cikkünkben megírtuk: az egyik hekker által küldött bizonyítékokból kiderült, hogy a cégen belül már korábban tudomást szerezhettek a támadásról, egymás között arról beszéltek, hogyan lehetne elkenni a történteket.
Egy nekünk nyilatkozó kiberbiztonsági szakértő szerint a nyilvánosságra került információk alapján a fejlesztőcégnél súlyos biztonsági mulasztások merülnek fel. Szerinte ez lehet a GDPR-éra legdurvább adatvédelmi incidense. Az adatvédelmi szakértő szerint súlyosbító körülmény lehet, hogy a cég senkinek nem szólt a történtekről.
Frissítés: csütörtök késő estére a KRÉTA újra elérhetővé vált.