Sikeres adathalász támadás érte szeptemberben a Köznevelési Regisztrációs és Tanulmányi Alaprendszer (KRÉTA) fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t, írja a Telex. A portál értesülése szerint a támadó (elvileg) hozzáférhetett a diákok rendszerben tárolt adataihoz, ahogy a cég más adatbázisaihoz, forráskódjaihoz és a fejlesztők belső kommunikációjához is.

A támadás sikeréhez elég volt annyi, hogy egy projektvezető fertőzött linkre kattintson egy átverős elektronikus levélben. A támadók az ő adatait megszerezve férhettek hozzá a belső rendszerekhez.

A KRÉTA ma már átfogó közoktatási informatikai rendszerként működik, melynek a digitális napló csak egy modulja, de szinte minden fontos adminisztrációs folyamatot integrál.

A rendszer egy korábbi fejlesztője azt mondta a portálnak, hogy elképzelhető, hogy egy támadó lényegében minden értékes adatot megszerezzen a KRÉTA-ból, amelynek valamelyik modulja mind a diákok, mind a tanárok szinte minden fontos személyes adatát tartalmazza (TAJ-számok, más személyes adatok, a diákok egészségügyi és mentális állapotára vonatkozó adatok, pl. fogyatékosság, magatartászavar és így tovább.)

Az ügyben a lap kereste az eKRÉTA Zrt.-t, de a megkeresésekre nem érkezett válasz. A Nemzeti Infokommunikációs Szolgáltató Zrt. és az Oktatási Hivatal pedig illetékesség hiányára hivatkozva utasította el a megkeresést. Az ORFK válaszában azt írta, hogy augusztus 1. óta a KRÉTA rendszert érintően elkövetett bűncselekmények gyanúja miatt négy bűntetőeljárás indult, de a nyomozás még tart.