Újra több iskola KRÉTA-ját érte támadás, a hekker a diákokat kéri, hogy terjesszék az üzenetét
2023. május 22. – 14:59
Az utóbbi hónapokban egyre gyakrabban fordul elő – vagy legalábbis a fejlesztőcég őszi meghekkelése óta egyre gyakrabban kap nagy figyelmet –, hogy valaki illetéktelen hozzáférést szerez egy-egy iskola KRÉTA-jához, hogy aztán a közoktatási informatikai rendszerbe egy diák vagy tanár nevében belépve körüzeneteket küldjön ki a felhasználóknak, esetleg jegyeket írjon be vagy más módosításokat hajtson végre. Legutóbb április végén adtunk hírt ilyenről.
Ezúttal a TikTokon tűntek fel arra utaló bejegyzések, hogy megint több iskola KRÉTA-rendszeréhez fért hozzá valaki jogtalanul és küldött üzeneteket – ezúttal annyi csavarral, hogy az illető kifejezetten arra buzdította az üzenet által elért diákokat, hogy osszák azt tovább a TikTokon:
„Sziasztok, a kréta ismét fel lett törve :D Egy kis nyereményjáték a diákoknak: aki lescreeneli ezt az üzenetet és #kretabreach23k hasteggel kirakja titkokra, az kap ötöst, dicséretet etc.. ui. krétás fejlesztőknek: Minden tanuló / tanár kréta belépési, személyes adata a kezemben van. BTW ideje lenne patchelni a hibákat, nem gondoljátok? :D”
Cikkünk írásakor az említett hashtag alatt 14 poszt található, amelyekben valóban a fenti üzenetről készült képernyőkép látható. Ezek alapján vasárnap érkeztek a kéretlen üzenetek a rendszerben. Az üzenetek alatt a különböző bejegyzésekből három név olvasható ki, ebből kettő a tanárok neve alapján nagy bizonyossággal be is azonosítható. Az egyik a Kozármislenyi Janikovszky Éva Általános Iskola volt, és az iskola honlapján található is egy még vasárnap kirakott közlemény. Eszerint vasárnap délelőtt valóban feltörték az iskola KRÉTA-ját, amit az igazgató jelzett is a fenntartó és a szolgáltató felé, a megoldásig türelmet és megértést kérnek.
Egy másik érintett iskola a névegyezés alapján a Marcali Berzsenyi Dániel Gimnázium, ennek a honlapján a cikk írásakor nem volt nyoma a történteknek, ezért írtunk az iskolának, hogy megerősítsék vagy cáfolják az érintettségüket. Az egyik érintett kommentben is jelentkezett az egyik TikTok-videó alatt, őt közvetlenül is megkerestük, de cikkünk megjelenéséig nem reagált, ahogy az iskola és a rendszert fejlesztő cég, az eKRÉTA Informatikai Zrt.-t sem. (Frissítés: Cikkünk megjelenése után a Berzsenyi Gimnáziumtól illetékesség hiányában a tankerülethez irányítottak minket. Frissítés 2: Május 23-án a Siófoki Tankerületi Központ válaszában megerősítette az iskola érintettségét. Az ügyben feljelentést tettek.)
Elindult a nagyobb biztonság felé a KRÉTA
A legutóbbi KRÉTA-s eset után közvetlenül a felsőoktatási tanulmányi rendszert, a Neptunt is hasonló támadás érte, több egyetemen is tömeges üzeneteket küldött ki egy illetéktelen behatoló, miután hozzáférést szerzett egy-egy oktató vagy hallgató fiókjához. Az akkori esetek után részletes cikkben mutattuk be az ilyen támadások hátterét, illetve a lehetséges megelőzésüket. Akkor azt írtuk, elsősorban az akkori támadások középpontjába került Neptunra összpontosítva, hogy a kéttényezős hitelesítés (a jelszó mellé egy másik, jellemzően mobiltelefonon generált kód kérése a belépéshez) lenne a kézenfekvő és technológiai szempontból legegyszerűbb megoldás arra, hogy még lopott jelszóval se tudjon a támadó könnyedén belépni egy-egy fiókba. A fejlesztő mégsem vezette még be ezt önkéntes jelleggel sem. Fejlesztőkkel beszélgetve az derült ki, hogy a bevezetés elleni érv általában a felhasználói felkészületlenségtől való félelem, azaz hogy a belépés bonyolítása miatt az informatikailag kevésbé képzett felhasználók rendszerhasználatát túlságosan megnehezítené a dolog.
Egészen a közelmúltig a KRÉTA-ra is ugyanez volt igaz, a közoktatási rendszer fejlesztője azonban március végén elkezdte bevezetni a kéttényezős hitelesítés lehetőségét.
Erről a HWSW írt először egy hozzájuk eljutott email alapján, amelyben a fejlesztőcég az intézményi fenntartókat tájékoztatta a változtatásról. Eszerint a bevezetés fokozatos lesz, modulonként és jogosultsági szintenként kezdik el aktiválni, azaz első körben még csak a fenntartói felhasználók kapják meg a lehetőséget, majd feltehetően kiterjesztik azt a szülőkre és a diákokra is. Azt nem tudni, hogy tervezik-e később kötelezővé tenni a funkciót. Az új biztonsági funkció bevezetéséről később maga a fejlesztő is közzétett egy tájékoztatót. Eszerint az érintett rendszerekben a fenntartó kapcsolhatja be a kéttényezős hitelesítést.