110 milliós bírságot kapott a KRÉTA meghekkelt fejlesztője, súlyos hiányosságokra derült fény
2024. február 21. – 10:26
2022 szeptemberében hekkertámadás érte a minden iskolában használt közoktatási rendszer, a KRÉTA fejlesztőjét, de ez csak két hónappal később, a cikkünk megjelenése után jutott el a nyilvánosságig és az adatvédelmi hatóságig. Utóbbi akkor vizsgálatot is indított, amely több mint egy év után, tavaly decemberben zárult le, de az eredménye eddig nem volt ismert. Most eljutott hozzánk a határozat, amely jelentős adatvédelmi bírság, 110 millió forint megfizetésére kötelezi a fejlesztőcéget.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) szerint a cég (amelyet ma már Educational Development Informatikai Zrt.-nek hívnak, de 2023 áprilisáig eKRÉTA Informatikai Zrt. volt a neve) két szempontból is törvényt sértett. Egyrészt nem biztosított kellő védelmet a rá bízott személyes adatoknak. Másrészt amikor ezek az adatok veszélybe kerültek, az incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak.
A NAIH megállapítja, hogy több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek, de a fejlesztőcég nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával.
A hatóság határozata lesújtó képet fest a fejlesztőcég biztonsági gyakorlatáról: megállapítják, hogy a cégnél eleve nem alkalmaztak alapvető és elvárható technológiai megoldásokat, majd az incidens megtörténte után nem kielégítő módon kezelték azt, és a sorozatos mulasztások vezettek az ügy eszkalálódásához.
A hatóság honlapján, a közzétett döntések között még nem szerepel a NAIH-1245-29/2023 számú határozat. Hozzánk úgy jutott el, hogy egy jogász, aki úgy ítélte meg, hogy iskolás gyereke révén közvetlenül is érintett lehet az adatszivárgásban, a történtek után adatvédelmi eljárás iránti kérelmet nyújtott be a NAIH-nak. Mivel a hatóság eddigre már hivatalból vizsgálta az incidenst, ezt a kérelemre indult ügyet előbb felfüggesztette, majd a saját eljárásának lezárása után megszüntette, egyúttal tájékoztatta a kérelmet benyújtó jogászt a lezárt eljárás eredményéről – amelyről mi is innen értesültünk.
Ennek a másik ügynek a határozatából derült ki az is, hogy a fejlesztőcég perre ment: „a határozat 2023. december 20. napján megszületett, és közlésre is került a Kötelezettel, aki az ellen keresetet nyújtott be. A bíróság döntése jelen végzés időpontjában még nem ismert a Hatóság előtt”.
Mennyire nagy ez a bírság?
Kezdjük azzal, hogy miért pont 110 millió forintos bírságot szabott ki a NAIH, és mennyire számít ez soknak.
Ha egy az egyben nem is lehet összemérni ezt az összeget más ügyekben kiszabott bírságokkal, a nagyságrendet érzékeltetheti, ha megnézzük, mekkora bírságokat szokott kiosztani a NAIH. Néhány ügy az elmúlt évekből:
- A rekord az a 250 millió forintos bírság volt, amelyet 2022 áprilisában kapott a Budapest Bank, amiért mesterséges intelligenciával elemezte az ügyfelei érzelmi állapotát a hangjuk alapján.
- Korábban szintén rekordnak számított, amikor 2020 júniusában a Digi 100 milliós bírságot kapott, mert nem vigyázott eléggé az ügyfelei adataira.
- 2023 áprilisában az Aldi 95 milliós bírságot kapott, amiért személyi igazolványt kértek az alkoholt vásárlóktól.
- Egy budapesti szépségközpont szintén 2023 áprilisában 30 milliós bírságot kapott, mert lehallgatta a vendégeit.
A GDPR kétféle bírságplafont határoz meg, attól függően, hogy pontosan milyen rendelkezéseket sért meg a megbírságolt cég. Az egyik kategóriában a maximálisan kiszabható bírság az éves árbevétel 4 százaléka (vagy húszmillió euró, amelyik magasabb), a másikban az éves árbevétel 2 százaléka (vagy tízmillió euró). A NAIH utóbbi kategóriába sorolta a KRÉTA fejlesztőjének esetét, így rá a 2 százalékos/10 millió eurós plafon vonatkozott. A cég nettó árbevétele 2022-ben 8,43 milliárd forint volt, a 110 milliós bírság ennek kerekítve 1,3 százaléka.
Hogy jutottak be a hekkerek?
2022 novemberében írtuk meg, hogy még az év szeptemberében meghekkelték a közoktatás minden intézményében kötelezően használt állami adminisztrációs rendszer, a KRÉTA fejlesztőjét. Később bemutattuk azt is, hogy a történteket a cég hogyan próbálta meg elkenni. Bár Gulyás Gergely Miniszterelnökséget vezető miniszter az aznapi kormányinfón a Telex kérdésére elismerte, hogy a kormány már szeptemberben, „a történtek után néhány nappal” értesült a sikeres támadásról, a nyilvánosság csak novemberben, cikkünk nyomán hallhatott róla először.
A NAIH felidézi a határozata elején, hogy ők is csak a 2022. novemberi cikkeinkből szereztek tudomást a történtekről. Az első cikkünk másnapján hatósági ellenőrzést, majd a második és a harmadik cikk információi alapján már inkább adatvédelmi hatósági eljárást indítottak. A fejlesztőcég a mi megkereséseinkre egyetlen alkalommal sem válaszolt, ezért már az is érdekes, hogy az eljárás során milyen részleteket osztott meg a hatósággal.
Az egész ügy úgy indult, hogy 2022 szeptemberében több iskola jelezte a cégnek, hogy adathalász levelet kaptak a KRÉTA-n keresztül. A levélben található, kártékony kódra mutató linket elküldték a cégnek kivizsgálásra, ekkor kattintott rá az egyik alkalmazott, hogy megvizsgálja. Néhány nappal később a Gmail értesítést küldött neki egy gyanús belépésről a fiókjába. Ezután jelezte a történteket a cégnek.
Amikor néhány nappal a történtek után kiderült, hogy az érintett alkalmazottat meghekkelték, a cég lecserélte a gépét, inaktiválta a fiókját és a jogosultságait, majd új fiókot hozott neki létre, és a jelszavait is meg kellett változtatnia. Az alkalmazott azonban a jelszavait a Google böngészőbe épített jelszókezelőjében elmentve tárolta, és amikor új jelszavakat kapott, ezeket is szinkronizálta a Google-fiókjával. Csakhogy a támadók már korábban hozzáférést szereztek ehhez a Google-fiókhoz és a benne tárolt jelszavakhoz, így az új jelszavakat is megszerezték.
A cégnél saját bevallásuk szerint szeptemberben még nem tudtak arról, mekkora a baj, „semmilyen információjuk nem volt arra vonatkozóan, hogy személyes adat került volna ki”, aztán novemberben realizálták, hogy nagyobb a gond, mint hitték, és az ekkor lefolytatott vizsgálódásuk során megállapították, hogy „érintettek voltak olyan Excel-táblázatok, melyekben voltak az éles KRÉTA rendszerből lementett személyes adatok”. Ezeket az adatokat a terméktámogatási (support) tevékenység miatt mentették le ideiglenesen.
Vagy sok, vagy nagyon sok ember érintett
Kulcskérdés az ügy súlyának megítélésében, hogy mennyi és milyen adat szivároghatott ki. Az eljárás során a cég azzal védekezett, hogy mivel csak egy alkalmazottját hekkelték meg, a támadók magához a KRÉTA-hoz nem férhettek hozzá. A NAIH szerint azonban ezt a cég semmivel nem tudta bizonyítani, így nem is zárható ki, hiszen „egyértelműen megállapítható, hogy az érintett felhasználó hozzáférhetett, és hozzá is fért az éles KRÉTA szerverekhez”, a támadók pedig mindenhez hozzáfértek, amihez ő.
A hatóság szerint ezért az incidenst érdemes két szinten értelmezni:
- Az első szint: a támadók bizonyítottan hozzáfértek azokhoz a személyes adatokhoz, amelyeket a meghekkelt alkalmazott a terméktámogatási tevékenység miatt letöltött a KRÉTA-ból a gépére, plusz a fejlesztőcég alkalmazottainak bizonyos adataihoz is.
- A második szint: a támadók hozzáférhettek az éles KRÉTA rendszerben szereplő személyes adatokhoz is. A hatóság hangsúlyozza, hogy „az eljárás során feltárt információk alapján összességében megalapozottan lehet arra következtetni, hogy a támadás során hozzáfértek az éles KRÉTA rendszerben tárolt személyes adatokhoz is”.
A hatóság kérdéseire adott válaszában a cég elküldte a biztosan érintett személyes adatokat: 12 szakképzési centrumhoz kapcsolódóan összesen 8574 tanuló 290 ezer adatáról, 11 082 gondviselő 44 ezer adatáról és 1205 alkalmazott 35 ezer adatáról van szó. Emellett a fejlesztőcég alkalmazottainak bizonyos adatai és a belső kommunikációjuk egy része is a támadókhoz kerülhetett. Összesen tehát több mint húszezer ember több mint 370 ezer adata egészen biztosan illetéktelen kezekbe került. Korábban az egyik hekker a Telexnek azt mondta, a személyes adataikkal érintettek pontos számát nem tudják, de több tízezerről lehet szó, ami egybevág ezekkel a számokkal.
Az éles KRÉTA rendszerben pedig a cég szerint körülbelül 225 ezer alkalmazott 6,5 millió adata, 1,5 millió diák 47 millió adata és 1,87 millió gondviselő 7,5 millió adata található meg. A NAIH szerint „ezek között ráadásul van számos olyan, melyek nyilvánosságra kerülése az érintettet különösen hátrányosan érintheti, pl. küzd-e a tanuló beilleszkedési, tanulási, magatartási, nevelési nehézséggel; sajátos nevelési igényű-e; államilag gondozott-e; részesül-e szociális támogatásban vagy rendszeres gyermekvédelmi kedvezményben. Bár nem kötelező elem, de akár a tanuló vallása is megjelenhet”.
Összességében tehát a NAIH szerint „bizonyíthatóan bekövetkezett egyrészről egy magas kockázatú incidens, másrészről valószínűsíthetően bekövetkezett egy kiemelkedően magas kockázatú incidens”.
Érdekesség, hogy a NAIH vizsgálata során már maga a cég is elismerte, hogy a támadók hozzáfértek személyes adatokhoz, noha 2022 decemberében még az ügyben nyomozó rendőrség is azt írta, a hekkerek „személyes adatokhoz nem jutottak hozzá”.
A határozatból kiderül, hogy a fejlesztőcég megbízott egy meg nem nevezett „külső állami tulajdonú vállalkozót”, hogy derítse fel a lopott adatok terjesztésére, árulására gyakran használt dark webet, hogy felkerültek-e oda a KRÉTA felhasználóinak adatai. Ennek a munkának a határideje tavaly december vége volt, azaz a NAIH határozatának kiadásakor még nem volt meg az eredménye. Azt azonban megjegyzi a hatóság, hogy „amennyiben ezen keresés azon eredményre jutna is, hogy a dark weben nem találhatóak meg a KRÉTA rendszer felhasználóinak személyes adatai, az sem lenne bizonyító erejű arra nézve, hogy a támadók nem mentettek ki személyes adatokat a KRÉTA rendszerből, hiszen nem törvényszerű, hogy a támadók a támadás során esetlegesen megszerzett információkat közzé is teszik később.”
A személyes adatok mellett a KRÉTA forráskódjának egy részlete is kiszivárgott. A hatóságnak a cég azt írta, három modulnak került ki a kódja, ami a teljes forráskód 20 százalékát jelenti. „A kikerült forráskód a helyszíni szemle időpontjára már módosult, az egyezés kb. 90 százalékos volt. Az Ügyfél nem észlelte a forráskód kimentését” – olvasható a határozatban. A hekkerek 2022 novemberében közzé is tették az ellopott forráskódrészletet, akkor szakértőkkel vettük végig, mi olvasható ki belőle és mi nem, mekkora kockázattal járhat a nyilvánosságra kerülése.
Súlyos hiányosságokat tártak fel
A NAIH határozata egészen siralmas képet fest a cégnél az incidens idején uralkodó IT-biztonsági állapotokról. A hatóság szerint a cégnek „az általa fejlesztett rendszer ismertsége és a benne tárolt személyes adatok mennyisége miatt is számítania kellett külső támadásokra”, de az, hogy csak az incidens után vezette be az elvárható biztonsági intézkedéseket, arra utal, hogy
„könnyelműen bízott a támadások elmaradásában, és […] a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan, a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott”.
A hatóság szerint már az is súlyos adatbiztonsági hiba, hogy egy alkalmazott, aki a KRÉTA összes adatához hozzáférhet, a céges jelszavait a Google-nél tárolhatta; az meg pláne, hogy a meghekkelése után sem léptették ki az összes Google-munkamenetből, azaz a támadóknál is megnyitva maradhatott a feltört fiókja. „Ezek elfogadhatatlan mértékben növelték a rendszer kitettségét, hiszen léteznek olyan, csak az adott számítógépre telepített jelszókezelő szoftverek, amelyekben – mint egy széfben – biztonságosan tárolhatóak a felhasználók jelszavai” – jegyzi meg a hatóság.
A NAIH szerint a szeptemberi adathalász támadás kivizsgálásakor a cég nem folytatott kellő mélységű vizsgálatot a kockázatok felmérése érdekében, „válaszintézkedései szinte kimerültek abban, hogy az adott felhasználói fiókot törölte, és az érintett felhasználó jogosultságait felfüggesztette”. Ha kellő gondossággal járt volna el, akkor „legalább az érintett felhasználóhoz kapcsolódó hálózati forgalmat figyelnie kellett volna huzamosabb ideig, és az adott felhasználó bevonásával kellett volna vizsgálnia azt is, hogy mely forgalom köthető az ő tevékenységéhez, és melyik ismeretlen – így vélelmezhetően illetéktelen – felhasználókhoz.” Ha ez megtörtént volna, akkor a hatóság szerint a cég „vélhetően időben észlelte volna, hogy illetéktelenek tartózkodnak a rendszereiben, úgyszintén azt is, hogy pontosan mihez fértek hozzá, és így jó eséllyel elkerülhették volna a helyzet további súlyosbodását”.
A NAIH szerint megakadályozható lett volna az egész incidens, ha a cég belső rendszereihez, de legalább azokhoz, amelyekben személyes adatok is szerepelnek, „már a támadás időpontjában is csak kétfaktoros hitelesítést követően lehetett volna hozzáférni”. Ehhez képest ezt csak közvetlenül az incidens napvilágra kerülése után, november 10-én vezették be.
A cég természetesen naplózta az alkalmazottak tevékenységét, de a hatóság szerint ez a naplózás „az incidens kivizsgálása szempontjából elégtelennek bizonyult, hiszen […] ha egy támadó hozzáférést szerzett valamely munkatárs profiljához, onnantól kezdve a támadó bármit csinálhatott, akár minden adatot (beleértve ez esetben az éles KRÉTA rendszerben szereplő adatokat is) kimenthetett, a támadó tevékenységét onnantól kezdve nem lehetett elválasztani a feltört profil tulajdonosának tevékenységétől. Ez súlyos adatbiztonsági hiányosság.”
„A fentiekből következően egyértelműen megállapítható tehát, hogy egy KRÉTA szintű rendszer fejlesztése során minimum elvárás a kétfaktoros hitelesítés, valamint egy esetleges biztonsági incidens kivizsgálása esetén a történtek felderítéséhez elegendő tartalmú naplózás megléte” – összegzi a hatóság.
Az incidens után több intézkedést is tett a cég. Többek között:
- tájékoztatókat adtak ki a felhasználóknak, felülvizsgálták az IT-biztonsági szabályzatokat, rendszerátalakításokat végeztek, adatvédelmi oktatásokat tartottak;
- főszabály szerint letiltották a KRÉTA külföldi elérését;
- utasításba adták többek között, hogy a céges rendszerek jelszavait tilos elmenteni a böngészőben, és megtiltották a magán Google-fiók használatát munkahelyi eszközökön, újragondolták az alkalmazotti jogosultságok kezelését;
- cégen belül közvetlenül a novemberi események után bevezették a kéttényezős hitelesítést (magában a KRÉTA-rendszerben a felhasználóknak ezt 2023 tavaszán kezdték el bevezetni);
- titkosítást vezettek be tárolt adatokra;
- szigorítottak a fejlesztői környezetben használt kódok kezelésén is.
A NAIH szerint a változtatások jók, de jelzésértékű, hogy csak az incidens után születtek. „A Hatóság határozottan nem osztja a Kötelezettnek azt az álláspontját, miszerint az incidens csupán egy munkatársának gondatlanságából fakadt, az incidens ezért nem vezethető vissza komoly adatbiztonsági problémára. Bár az incidens közvetlen kiváltó oka valóban munkavállalói hiba volt, megfelelő adatbiztonsági intézkedések mellett ez semmiképpen nem járt volna az ügyben ismertetett következményekkel” – olvasható a határozatban. A NAIH arra is rámutat, hogy ebben a kérdésben a cég önellentmondásba is keveredik, hiszen „az incidensről való 2022 novemberi tudomásszerzést követően jelentős számú (közel húsz!), rendszerszintű változásokat is tartalmazó, alapvető fontosságú és a technológia állása szerint is elvárható intézkedést vezetett be […], holott amennyiben valóban úgy gondolná, hogy egy munkavállalói figyelmetlenség volt pusztán az incidens kiváltója, erre nem lett volna oka”.
A NAIH szerint ezek a változtatások is azt támasztják alá, hogy a cég „tisztában van azzal, hogy milyen szintű és jellegű adatbiztonsági intézkedések lennének elvárhatóak egy olyan rendszer esetében, mint amelyet fejleszt, mégis jelen incidensnek kellett bekövetkeznie ahhoz, hogy ezek meg is valósuljanak”.
Az egész határozatból süt, hogy a NAIH szakértői milyen alacsony színvonalúnak tartják a fejlesztőcég IT-biztonságát. Egy jellemző részlet, amely érzékletesen illusztrálja ezt: megállapítják, hogy bár a cég a szeptemberi adathalász támadás idején még „képtelen volt a támadás valós kiterjedését és következményeit felmérni […], kellő gondosság mellett legalább feltételeznie kellett volna” ezek lehetőségét. A cég viszont „saját hanyagsága miatt ezen feltételezéssel nem élt, és képtelen volt olyan belső vizsgálatot lefolytatni, amellyel már 2022 szeptemberében megbizonyosodhatott volna arról, hogy milyen kiterjedésű volt a támadás, mely egyébként adathalász támadás révén nem volt egy nehezen detektálható, szofisztikált támadás”.
A hatóság többek között azt is súlyosbító körülménynek tekintette, hogy az incidensről nem a cégtől, hanem a Telex cikkeiből szerzett tudomást.
A rendőrség még nyomoz
A NAIH eljárása ezzel lezárult, még ha a bíróságon folytatódik is az ügy a cég keresete után. A KRÉTA-ügyben azonban a rendőrség is indított nyomozást.
Ennek eredményéről először akkor hallottunk, amikor 2022 decemberében Pintér Sándor belügyminiszter azt mondta a KRÉTA fejlesztőjét ért támadásról az egyeztetésre hívott tanároknak: „Nem fogják elhinni, maguk még nem tudják az eredményt. Egy 13 éves és egy 15 éves gyerek törte föl”.
Aztán a rendőrség is kiadott egy közleményt ennek megerősítésére, a hekkerek azonban a közlemény több állítását is cáfolták. Az világos volt, hogy valójában az ügyet még nem zárták le, de azóta sincs róla új információ. Legutóbb egy hónapja kérdeztünk rá az állására a rendőrségnél, január végi válaszuk szerint a nyomozás még folyamatban van.
Gulyás Gergely Miniszterelnökséget vezető miniszter akkoriban utalt arra is, hogy az eset nyilvánosságra kerülése után a kormány is vizsgálat indított az ügyben. Ennek eredményéről sincs hír azóta sem, és az ezzel kapcsolatos korábbi megkereséseinkre nem is kaptunk választ a kormánytól.
Cikkünk megjelenése előtt emailben kerestük a fejlesztőcéget is. Arra voltunk kíváncsiak, mi az álláspontjuk a határozattal és a NAIH által megállapított súlyos adatvédelmi hiányosságokkal kapcsolatban, illetve hogy áll a döntést megtámadó per. Megkérdeztük tőlük azt is, terveznek-e a hatóság által felsoroltakon túl további adatvédelmi intézkedéseket. Ha érdemben válaszolnak, beszámolunk róla.