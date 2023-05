P. L.;

oktatás;feltörés;KRÉTA-rendszer;

2023-05-15 13:22:00

Gyerekek törték fel, és még mindig sérülékeny a KRÉTA-rendszer

Úgy tűnik, nem vonták le a megfelelő tanulságokat.

Számos hackertámadás sem volt elég ahhoz, hogy érdemben felemeljék a Köznevelési Regisztrációs és Tanulmányi Alaprendszer (KRÉTA) biztonsági szintjét, annak ellenére, hogy tele van érzékeny adatokkal - például, hogy ki miből áll bukásra, vagy hogy milyen egészségügyi adatok alapján mentették fel az illetőt tesiből - írja az Eduline.

Ennek ellenére a portál szerint már nem olyan negatívak az általános visszajelzések a rendszerről, mint hat éve, amikor kötelezővé tették - az érintettek lassacskán megbarátkoznak vele. A KRÉTA diákoknak készített mobilalkalmazásának 2019 szeptemberében a Google Playen például 16 ezer értékeléssel 5 csillagból 2,1-en állt, ez mára csaknem 42 ezer értékelés után 3-asra szelidült. A szülők körében az alkalmazás jóval népszerűbbnek tűnik: 64,5 ezer vélemény alapján az androidos telefonok alkalmazásboltjában 5-ből 4,4 csillagon áll a szülői verzió jelenleg.

A KRÉTA-rendszer feltörésével kapcsolatos botrány tavaly novemberben robbant ki. Annak idején lapunk is beszámolt arról, hogy egy hackertámadás következtében illetéktelenek férhettek hozzá az online rendszerben tárolt összes adathoz, így valamennyi diák személyes adataihoz is.

A támadás mögött álló egyik hacker felvette a kapcsolatot a Telexszel és további részleteket osztott meg. E szerint a cégen belül már akkor tudomást szereztek a rendszer feltöréséről, de egymás között inkább azt vitatták meg, hogyan lehetne eltussolni a történteket. „Vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség” - írta az eKRÉTA Zrt. egyik projektvezetője még szeptember végén. Pedig a cég egyik belső kommunikációs felületén egészen konkrétan ez az üzenet fogadta a dolgozókat: „Helló, eKRÉTA! Sajnálatos módon a »profi« rendszereiteket sikeresen feltörtük, rengeteg adatot megszereztünk, köztük: forráskódok, adatbázisok, és még sorolhatnám! […] Mellesleg köszönjük a nagyon fontos, informatív Slack-beszélgetéseket, az újságíróknak biztos tetszeni fog, hogy a rendőröknek hamisítotok.”

A hacker állítása szerint akciójukkal a magyar rendszerek rossz állapotát akarták bemutatni, a támadással a problémák ellen tiltakoznak, személyes adatokat azonban nem tesznek közzé, nem akarnak ártani a diákoknak.

Később Pintér Sándor belügyminiszter arról beszélt, hogy a KRÉTA-rendszert egy 13 és egy 15 éves gyerek törte fel. A rendőrség megerősítette ezt az állítást, házkutatást is tartottak náluk, az idősebb gyereket ki is hallgatták. A hackercsapat viszont azt állította, hogy a 15 éves fiatal külsős, 13 éves tagjuk pedig nincs is.

Mindennek ellenére az Eduline forrásai úgy látják, hogy azóta sem történt érdemi fejlődés a KRÉTA biztonsági rendszerét tekintve: a lapnak ketten is arról számolt be, hogyan generálják le az alapértelmezett jelszavakat a diákoknak. „Én a fél osztályom KRÉTA-jába be tudnék lépni, ha akarnék” - mondta egyikük. Úgy tudni, alapvető biztonsági fejlesztések sem történtek meg, például azóta sincs kétlépcsős azonosítás. Ezt állítólag a tanárok hiányos informatikai kompetenciáira hivatkozva ellenezték, mondván, hogy attól tartanak, a rendszert hibáztatnák, ha a tanárok ügyetlenek és nem tudnak belépni.