Nem találja a rendőrség a Neptun és a KRÉTA meghekkelőit, akik visszaéltek a Telex nevével

Tavaly április végén előbb a közoktatási, majd a felsőoktatási tanulmányi rendszert érte hekkertámadás: április 24-én a budapesti Madách Imre Gimnázium szülői és diákjai felől kaptunk jelzést arról, hogy valaki egy tanár profiljáról küldözgetett kéretlen üzeneteket. Majd a következő napokban több egyetem diákjai is megírták, hogy a Neptunnal is ugyanez történt. Az elkövető mindkét rendszer esetében visszaélt a Telex nevével, alaptalanul azt állítva, hogy lapunknak köze van a támadáshoz. A rendőrség akkor kérdésünkre azt válaszolta, hogy nyomozást indított ismeretlen tettes ellen.

A tettes azóta is ismeretlen, és egyelőre biztosan az is marad: a rendőrség mindkét ügyben felfüggesztette a nyomozást.

A két esetet külön kezelték: a KRÉTA ügyében még július 31-én válaszolták, hogy nem folytatják tovább a nyomozást, míg a Neptun ügyében friss kérdésünkre árulták el, hogy szeptember 9-én függesztették fel. Mindkét esetben a Büntetőeljárásról szóló 2017. évi XC. törvény 394. § (1) bekezdés a) pontjára hivatkoztak, azaz arra, hogy „az elkövető kiléte a nyomozásban nem volt megállapítható”.

A Telexet is belekeverve üzengetett a hekker

Az oktatási rendszereket ért tavaly tavaszi hekkeléssorozattal akkoriban részletesen foglalkoztunk. Valaki kormánykritikus, többnyire trágár üzeneteket küldött szét az érintett iskola és egyetemek felhasználóinak, azt sugallva, hogy a támadáshoz köze van a Telexnek is. Nem magukat a tanulmányi rendszereket törték fel, csak az érintett intézmények felületéhez fért hozzá a hekker egy-egy hallgató vagy oktató jelszavának megszerzésével. Ezzel együtt is nagy felfordulást okozott, volt, ahol több napig elérhetetlen volt emiatt a Neptun, de máshol is korlátozták a funkcióit.

Az elkövető mindkét ügyben LiL AdaM névvel és magát telexesnek nevezve írta alá az üzeneteit, de a Neptun esetében még Elon Muskot is belekeverte a történetbe, aki állítása szerint a Telexszel szövetkezve vette célba a felsőoktatási rendszert. Láthatóan követte a Redditen az első üzeneteiről indított beszélgetést is, mert Neptun-üzenetekben reagált a reddites felvetésekre, amivel persze nagy sikert aratott a Reddit-felhasználók körében: a legtöbb hozzászóló valamiféle Robin Hoodként ünnepelte az egyetemi rendszerben garázdálkodó hekkert, aki egy későbbi üzenetben már ironikus módon arról adott tanácsokat, hogyan kell jelszót változtatni, illetve biztonságosabb jelszót választani.

Némelyik kép alapján az is látszott, hogy egy-egy hallgató, illetve oktató fiókjához fért hozzá az illető, és jobbára egy legitim üzenetre írt válaszként küldte el a mondandóját. Az egyik érintett oktatót akkor sikerült is elérnünk (a nevét és az egyetemet nem írjuk le, mert az illető maga is áldozat). Ő a Telexnek megerősítette, hogy az ő fiókjából érkeztek a kéretlen üzenetek:

„Engem a rendszergazda értesített: küldött egy levelet, hogy letiltották a belépésemet, mert valami szokatlan tevékenységet fedeztek fel. Előtte este rengeteg ilyen neptunos levelet kaptam, amiket persze nem olvastam el, mert sejtettem, hogy valami spam, de akkor még nem gondoltam, hogy mi történt.”

Ezután az adminisztrátor visszaállította a jelszavát, amelyet aztán meg kellett változtatnia. Arról elképzelése sincs, hogy a korábbi jelszava hogyan kerülhetett ki. Azt mondta, ugyanazt a jelszót máshol nem használta, és miután egy ideje összetett jelszavak használatát követelik meg, jelszókezelő alkalmazást is használ, „mert egyszerűen nem lehet ezt már fejben tartani”.

Azóta biztonságosabbak a rendszerek

Az akkori esetek után részletes cikkben mutattuk be az ilyen támadások hátterét, illetve a lehetséges megelőzésüket. Akkor azt írtuk, elsősorban az akkori támadások középpontjába került Neptunra összpontosítva, hogy a kéttényezős hitelesítés (a jelszó mellé egy másik, jellemzően mobiltelefonon generált kód kérése a belépéshez) lenne a kézenfekvő és technológiai szempontból legegyszerűbb megoldás arra, hogy még lopott jelszóval se tudjon a támadó könnyedén belépni egy-egy fiókba. A fejlesztő akkoriban mégsem vezette még be ezt önkéntes jelleggel sem.

Azóta viszont változott a helyzet: a következő hónapokban több egyetem is bevezette a Neptunban a kéttényezős hitelesítést. Ugyanez a helyzet a KRÉTA esetében is: a fejlesztőcégen belül már nem sokkal a nagy figyelmet kapott 2022-es hekkertámadás nyilvánosságra kerülése után, 2022 novemberében bevezették ezt a megoldást. Magában a KRÉTA-rendszerben a felhasználóknak 2023 tavaszán kezdték el bevezetni, és 2024 első negyedévétől fokozatosan kötelezővé tették a KRÉTA intézményi adminisztrátorainak, de addigra opcionálisan már bárki beállíthatta magának.

Volt, akit elkaptak

A fenti esetek után nem sokkal, 2023. május végén egyébként újra több iskola KRÉTA-ját érte támadás, a hekker akkor a diákokat kérte, hogy terjesszék az üzenetét a közösségi médiában.

Ennél azonban komolyabb volt a Neptunt ért újabb támadás: 2023 novemberében több magyar egyetem hallgatóinak Neptun-fiókjába is bejuthatott J. Gábor, aki így hónapokig gond nélkül hozzáférhetett hallgatótársainak adataihoz. 2024 januárjában, a tanulói ösztöndíjak kifizetésekor derült csak ki, hogy az elkövető ki-be járkálhatott a hallgatók fiókjába.

A csaló 2024. február 14. és március 13. között belépett több oktató és közel száz hallgató felhasználói fiókjába, a magyarok mellett egy holland egyetem is érintett volt. Közel 400 ezer forint értékű kárt okozhatott, de ez sokkal nagyobb összeg is lehetett volna, ugyanis a meg nem valósult tranzakciók összege több mint 4 millió forint volt. A csalásokat az elkövető úgy hajthatta végre, hogy az ösztöndíj-kifizetések előtt a Neptunban átírta két egyetem hallgatóinak bankszámlaszámát többek között Fülöp-szigeteki, illetve litván számlaszámokra. Minderről idén augusztusban számolt be a rendőrség, ebben az ügyben ugyanis megtalálták és elfogták az elkövetőt.