Sikeres adathalász támadást hajtottak végre néhány hete a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcége, az eKRÉTA Informatikai Zrt. ellen. Ennek következtében a támadó illetéktelen hozzáférést szerezhetett a közoktatás minden intézményében kötelezően használt adminisztrációs rendszer adataihoz – írja a Telex.
A lap úgy tudja, hogy diákok összes, a KRÉTA-ban kezelt adata kiszivároghatott, de nemcsak ezekhez, hanem a cég más adatbázisaihoz és a forráskódokhoz, illetve a fejlesztők belső kommunikációjához is hozzáférhettek.
Az információkat eddig névtelenül erősítette meg az eKRÉTA Zrt. egyik munkatársa. Szerinte adathalász támadás: egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül.
Míg a közvéleményben legtöbben e-naplóként ismerik csak a KRÉTA-t, mára jóval több funkciót lát el. Az e-napló mellett húszféle modul és rengeteg különféle alkalmazások tartozik hozzá. Kovács Gábor, a KRÉTA korábbi fejlesztési vezetője szerint a probléma az, hogy ha megvan a megfelelő belépési azonosító, a jelszavakat kivéve a diákok adatait valóban meg lehet szerezni.
„A rendszer a diákok és a tanárok szinte minden adatát tartalmazza valamilyen moduljában, a taj-számok és más személyes adatok vagy a jegyek, intők a triviális kategória. Hogy mást ne említsek, ilyen adatok: a diákok fogyatékosságai, magatartászavarai, amelyek minősített adatok; felmentések, igazolások, egészségügyi adatok; pedagógusok és más alkalmazottak HR-adatai; intézmények költségvetése, gazdálkodása; intézmények iktatott dokumentumai” — mondta.