A KRÉTA a közoktatás minden intézményében kötelezően használt állami adminisztrációs rendszer, amelynek szinte minden adatához hozzáférhetett a támadó, így diákok személyes adataihoz is, illetve a cég más adatbázisait és a forráskódokat, a fejlesztők belső kommunikációját is megszerezték, írja a Pénzcentrum.
A KRÉTA-t szeptemberben törték fel, és ezzel a hackerek hozzáfértek a magyar közoktatásban tanuló valamennyi diák adataihoz. Az esetet a fejlesztőcég tagadni próbálta, és egy hekker által küldött bizonyítékokból derült ki az is, hogy a tudtak a rendszerük feltöréséről.
A hekker azt írta a Telex portálnak, hogy a magyar rendszerek rossz állapotát akarták bemutatni ezzel az akcióval, a támadással tiltakozni a problémák ellen, viszont nem tesznek közzé személyes adatokat, mert nem akarnak ártani a diákoknak.
A Telexnek nyilatkozó kiberbiztonsági szakértő szerint a nyilvánosságra került információk alapján súlyos biztonsági mulasztások merülnek fel a fejlesztőcégnél. Véleménye szerint ez lehet a GDPR-éra legdurvább adatvédelmi incidense.
Az ügyben az adatvédelmi hatóság hivatalból eljárást indított. Súlyosbító körülmény lehet a szakértő szerint az, hogy a támadásról a cég senkinek nem szólt.
Az egyik projektvezető egy átverős emailben rákattintott egy fertőzött linkre, a támadók így szereztek hozzáférést a cég rendszereihez és adataihoz.
Nyitókép forrása: Getty Images
Forrás: Pénzcentrum/Telex
Kapcsolódó cikkek
