Az utóbbi időben a KRÉTA kapcsán leginkább az ellene elkövetett hackertámadásoktól volt hangos a sajtó. Novemberben tizenévesek törték fel a rendszert, májusban pedig a TikTokon is terjedni kezdett egy videó a KRÉTA feltörésével kapcsolatban. Az egyetemisták sem maradtak ki a támadásokból, ugyanis áprilisban több nagy egyetemen is trágár üzeneteket kaptak a hallgatók. Mit lehet ez ellen tenni?
„Azért itt vannak tehetségek. Itt volt a KRÉTA-rendszernek a feltörése. Nem fogják elhinni, egy 13 éves és egy 15 éves gyerek törte föl. Tehát van azért jó képzés, van jó példa” – mondta el Pintér Sándor decemberben egy kiszivágott beszédjében.
Azóta idén már támadás érte a
Neptun egyetemi tanulmányi rendszerét is, illetve a szigorított biztonsági intézkedések ellenére újra
több iskolában számolnak be arról, hogy KRÉTÁ-n tanárok nevében küldenek kamu üzeneteket.
Az rtl.hu utánajárt a KRÉTÁ-t és a Neptunt ért támadásoknak, az oktatási informatikai rendszerek sebezhetőségeinek és annak, mennyire hatékonyak a fejlesztők válaszlépései (a rendszer adatvédelmi hibáiról mi is írtunk májusban). A Híradónak a novemberi támadás után elárulták, hogy a Készenléti Rendőrség Nemzeti Nyomozó Iroda büntetőeljárást indított az ügyben.
„Arra tippelek, hogy volt munkavállaló adott tippet. Tehát itt nem arról van szó, hogy a fiatalok valami oltári nagyot alkottak”
– értékelte az rtl.hu-nak a feltörést Dr. Bencsáth Boldizsár, a BME Adat- és Rendszerbiztonság Laboratóriumának (CrySyS Lab) munkatársa.
A tavaly őszi esetről még mindig nem tudni, hogy biztosan feltörésről van-e szó, pontosan mit szereztek meg a hekkerek, és milyen módszerrel követték el a behatolást. Azonban a nyilvánosságra került információk alapján erős a gyanú, hogy az esetről nem tájékoztatták megfelelően az adatvédelmi hatóságokat.
A GDPR kemény jogszabály, és ha tényleg nem jelentették időben, akkor annak sok százmillió forintos következményei lehetnének. Ha igazak voltak az információk, akkor már ennek a nagy bírságnak be kellett volna ütnie - mondta a szakértő.
Hogyan lehet védekezni ellene?
Az események rávilágítottak, hogy ezek a rendszerek évekkel elmaradtak az IT és webbiztonság jelenlegi trendjeitől, és jelentős átgondolásokra, fejlesztésekre van szükség, hogy korszerűnek, biztonságosnak, és megbízhatónak mondhassuk azokat – mondta a BME munkatársa a lapnak.
A fejlesztőcég válaszul az esetekre elkezdte bevezetni a kétlépcsős azonosítást, ami azt jelenti, hogy már nem elég beírni a felhasználüónevet és a jelszót, a belépést meg kell erősíteni egy SMS-ben kapott biztonsági kóddal is. Azt még nem tudni, hogy ez a funkció mindenki számára kötelező lesz-e vagy csak opcionális, de az rtl.hu-nak nyilatkozó etikus hekker szerint ahol lehetséges, ott be kell kapcsolni a kétfaktoros hitelesítést.
