Feltörhették a KRÉTA-t, a diákok adatai is kiszivároghattak
2022. november 7. – 10:30
Néhány héttel ezelőtt adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t.
A támadás sikeres volt, így a támadó illetéktelen hozzáférést szerezhetett a közoktatás minden intézményében kötelezően használt adminisztrációs rendszer adataihoz – értesült a Telex a cégtől független forrásból.
Úgy tudjuk, valamennyi diák összes, a KRÉTA-ban kezelt adata kiszivároghatott, de nemcsak ezekhez, hanem a cég más adatbázisaihoz és a forráskódokhoz, illetve a fejlesztők belső kommunikációjához is hozzáférhettek.
Információinkat névtelenül az eKRÉTA Zrt.-n belülről is megerősítették, a fejlesztésre rálátó forrásunk szerint valóban történt adathalász támadás: egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül.
Úgy tudjuk, az eset még szeptemberben történt. Érdekesség, hogy a KRÉTA Tudásbázis nevű hivatalos információs oldalon a fejlesztőcéget ért adathalász támadással nagyjából egy időben, szeptember 20-i dátummal megjelent egy, cikkünk írásakor is az oldal tetején olvasható, „Fontos tájékoztatás!” című írás arról, hogy „az elmúlt időszakban újra megjelentek az adathalász alkalmazások (szoftverek), melyeket e-mailben és más csatornákon terjesztenek az adathalászok”.
Szinte minden hozzáférhetővé válhat
A KRÉTA szélesebb körben elsősorban e-naplóként ismert, de mára egy komplett közoktatási informatikai rendszerré duzzadt. Ahogy a honlapján látható, összesen húszféle modul és különféle alkalmazások tartoznak hozzá, többek között olyan szolgáltatásokkal, mint az az e-napló, e-ellenőrző, intézményi adminisztrációs rendszer, digitális kollaborációs tér, e-ügyintézés, illetve egészségüggyel, étkeztetéssel, gazdálkodással, HR-ügyekkel kapcsolatos adminisztráció.
Megkerestük a KRÉTA korábbi fejlesztési vezetőjét, Kovács Gábort, hogy segítsen megérteni a kockázatokat. Kovácsnak a konkrét esetről nincs tudomása, magát a rendszer felépítését és a fejlesztési folyamatot viszont ismeri. Először is arra voltunk kíváncsiak, hogy a rendszer működése valóban lehetővé teheti-e a forrásaink állításában is szereplő, kiterjedt hozzáférést:
„Technikailag megoldható, hiszen ha az adatok az adatbázisban titkosítva is vannak tárolva, ám megvan a megfelelő belépési azonosító, a jelszavakat kivéve a diákok adatait valóban meg lehet szerezni. Szóval igen, én reálisnak tartom.”
De vajon mi mindenhez férhetnek hozzá az illetéktelen behatolók, ha egy adathalász támadásban valóban megszereznek egy projektvezetői jelszót? „Sajnos nagyon sok mindenhez. A KRÉTA a diákok és a tanárok szinte minden adatát tartalmazza valamilyen moduljában, a tajszámok és más személyes adatok vagy a jegyek, intők a triviális kategória” – mondta Kovács Gábor, aki szerint ennél érzékenyebb adatok is elérhetők lehetnek ilyen módon.
„Hogy mást ne említsek, ilyen adatok: a diákok fogyatékosságai, magatartászavarai, amelyek minősített adatok; felmentések, igazolások, egészségügyi adatok; pedagógusok és más alkalmazottak HR-adatai; intézmények költségvetése, gazdálkodása; intézmények iktatott dokumentumai.”
Ami adatvédelmi szempontból különösen aggasztó lehet, hogy a fenti adatok alapján egészen részletekbe menő profil is alkotható lenne egy-egy diákról. „Valaki ennek a birtokában kilistázhatja például az összes nehéz helyzetben élő, 10-12 éves kislányt, akinek a gondviselője 50 évnél idősebb nála (azaz valószínűleg nagyszülője, tehát részben árva), a lakcímét, illetve hogy mikor van testnevelésórája, melyik teremben. Ha nagyon akarjuk, az egészségügyi modulban a gyerek súlya, magassága is benne lesz. És akkor most egy elég morbid irányt vett a példa, de remélem, ez érzékelteti a helyzetet” – mondta.
Ha valóban kikerült a KRÉTA forráskódja is, az Kovács szerint a fentiekhez képest már nem jelent jelentősebb extra kockázatot, „abban komoly sebezhetőséget nem fognak pluszban találni”.
Sem megerősíteni, sem cáfolni
Az ügyben többször is kerestük az eKRÉTA Zrt.-t emailben és telefonon is, először október 11-én, azaz közel egy hónappal cikkünk megjelenése előtt. Többek között arra voltunk kíváncsiak, hogy meg tudják-e erősíteni, hogy adatszivárgás történt, és ha igen, jelezték-e azt a hatóságoknak, illetve pontosan milyen adatok érintettek. Később személyesen Szabó Balázs vezérigazgatót is próbáltunk emailben és telefonon elérni. Jeleztük, hogy szeretnénk, ha a cikkünk úgy tudna megjelenni, hogy abban a cég álláspontja is helyet kap, így a reakciójukkal teljesebb képet tudjunk adni arról, hogy mi történt vagy nem történt pontosan. Egyik megkeresésünkre sem érkezett semmilyen válasz.
A fejlesztőcégen kívül több állami szereplőt is megkerestünk, amelyek valamilyen formában érintettek lehetnek a KRÉTA-val kapcsolatos ügyekben, de náluk sem jártunk sikerrel:
- A Nemzeti Infokommunikációs Szolgáltató Zrt. (NISZ) biztosítja az infrastruktúrát, amelyen a KRÉTA fut, de mint írták, „kérdései megválaszolásában a NISZ Zrt. nem illetékes”.
- Az Oktatási Hivatal válasza szerint „a kérdésben a hivatal nem illetékes”.
- Az idén tavasszal, a választások után átalakított kormányzati struktúrában a közoktatás már a Belügyminisztériumhoz tartozik, ezért őket is kerestük, de csak annyit írtak, „megkeresését továbbítottuk a Klebelsberg Központnak”.
- A közoktatásban szakmai irányítási és fenntartói feladatokat ellátó Klebelsberg Központ cikkünk megjelenéséig semmit nem reagált a kérdéseinkre.
Megkerestük az Országos Rendőr-főkapitányságot (ORFK) is, hogy történt-e feljelentés, indult-e nyomozás a KRÉTA-val kapcsolatos adatszivárgás ügyében. Megkeresésünk után csaknem két héttel az ORFK azt írta,
„a KRÉTA rendszert érintő adatszivárgás miatt 2022. január 1-jét követően a rendőrség nyomozó hatóságainál nem indult büntetőeljárás.”
Ezután arra is rákérdeztünk, hogy más ügyben felmerült-e illetéktelen hozzáférés gyanúja a KRÉTA-hoz, erre azt felelték, hogy augusztus 1. óta „a KRÉTA rendszert érintően elkövetett bűncselekmények gyanúja miatt” négy bűntetőeljárás indult: „Tanintézményi bejelentés alapján a Győri Rendőrkapitányságon, illetve a Békéscsabai Rendőrkapitányságon közveszéllyel fenyegetés bűntett gyanúja miatt, míg a Debreceni Rendőrkapitányságon és a Siófoki Rendőrkapitányságon információs rendszer vagy adat megsértés bűntett gyanúja miatt indult eljárás.” Ez utóbbi kettő esetében az illetékes két megyei rendőr-főkapitányságot is megkerestük, válaszuk szerint mindkét esetben tart még a nyomozás.
Az adatvédelmi incidenseket az Európai Unió adatvédelmi rendelete, a GDPR értelmében az adatkezelő köteles alapesetben 72 órán belül bejelenteni. Cikkünk megjelenése előtt megkerestük a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), hogy érkezett-e hozzájuk az elmúlt három hónapban a KRÉTA közoktatási rendszert, illetve az eKRÉTA Zrt.-t érintő bejelentés adatvédelmi incidensről. Ha válaszolnak, beszámolunk róla. (Frissítés: cikkünk megjelenése után megérkezett a NAIH válasza, amely szerint az elmúlt három hónapban „a Hatósághoz nem érkezett bejelentés a KRÉTA közoktatási rendszert, illetve az eKRÉTA Zrt.-t érintő adatvédelmi incidensről”.)
Az egyik forrásunk információi szerint az elkövető kiskorú lehetett, de ennek az állításnak a hitelességét más forrásból nem tudtuk megerősíteni. Ez mindenesetre nem lenne példa nélküli: egy éve is beszámoltunk egy esetről, amikor illetéktelen személy fért hozzá a KRÉTA-hoz, akkor egy 13 éves fiú volt az elkövető, aki adathalász támadást hajtott végre.
Fontos különbség, hogy abban az esetben nem magához a rendszerhez fért hozzá, csak az egyik felhasználó fiókjához: egy diákot vert át és szerezte meg a számítógépéről az adatokat, így a diák édesanyjának KRÉTA-jelszavát is. A rendőrség akkori közleménye szerint a fiúról a KRÉTA-t érintő adathalászat mellett „kiderült, hogy lejárati dátumokkal és biztonsági kódokkal együtt szerzett meg bankkártyaadatokat”, és „a nyomozás során alighanem számos tizenéves kerülhet a rendőrség látókörébe”.
Fokozatosan egyeduralkodóvá vált
A KRÉTA 2016-ban indult, hogy a kormány többévnyi sikertelen próbálkozás után újra egyetlen központi e-napló felé terelje az iskolákat. A fejlesztéssel egy egyszereplős, meghívásos közbeszerzés keretében az egyetemi Neptun tanulmányi rendszer mögött álló SDA Informatika Zrt.-t bízták meg, és az új közoktatási rendszer alapja is a Neptun lett. Ebből a cégből vált ki aztán 2016 májusában az eKRÉTA Informatikai Zrt. Az első, 2016/2017-es tanévben még önkéntes volt a KRÉTA e-naplójának használata, de intézményi adminisztrációs feladatokra már ekkor is minden állami fenntartású iskola ezt használta, majd a következő években az e-napló is fokozatosan kötelezővé vált, és mára a KRÉTA komplett közoktatási rendszerré bővült.
A KRÉTA működésében korábban is előfordultak kisebb-nagyobb fennakadások. A legemlékezetesebb az volt, amikor a koronavírus-járvány harmadik hulláma miatt tavaly március elején bezárták az iskolákat, és a digitális oktatás első napján a rendszer összeomlott. Az eKRÉTA Zrt. szerint ez azért történt, mert nem megfelelően osztották ki az erőforrásokat a rendszeren belül, ezért az nem bírta a megnövekedett terhelést, amiért a cég vállalta is a felelősséget.
Az eKRÉTA Zrt. 2021-es nettó árbevétele 12 milliárd forint volt, ez majdnem duplája a 2020-asnak, amely viszont több mint duplája volt a 2019-esnek. A 2021-es adózott eredménye 3,5 milliárd forint volt. A cég tulajdonosa jelenleg a tavaly év végén létrehozott eKRÉTA Vagyonkezelő Zrt. Ami annak a Fauszt Zoltánnak az érdekeltségi körébe tartozik, aki korábban Palkovics László későbbi technológiai és ipari miniszter üzlettársa volt, és azóta is jó kormányzati kapcsolatokkal rendelkezik, a különféle informatikai érdekeltségei az elmúlt években számos közbeszerzést nyertek. Fauszt kiterjedt céghálójának része többek között a Neptun mögött álló SDA Informatika Zrt., a közlekedési e-learning-tananyagokat kínáló E-Educatio és a közigazgatásban népszerű Poszeidon iratkezelő rendszert fejlesztő SDA DMS Zrt. is.