2022 őszén adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcégét. A portál szerint a támadás sikeres volt, így illetéktelenek hozzáférhettek az online rendszerben tárolt összes adathoz, így valamennyi diák összes, a KRÉTA-ban kezelt adatához is.

Akkor vizsgálatot is indítottak, amely több mint egy év után, tavaly decemberben zárult le, de az eredménye eddig nem volt ismert. A Telexhez eljutott a határozat, amely jelentős adatvédelmi bírság, 110 millió forint megfizetésére kötelezi a fejlesztőcéget. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) szerint a cég két ponton is törvényt sértett: nem védte kellőképpen a rábízott személyes adatokat és nem jelentették időben az incidenst az érintett iskoláknak.

A NAIH megállapította, hogy több mint húszezer ember személyes adatai biztosan illetéktelen kezekbe kerültek, de a fejlesztőcég nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával. A hatóság szerint megakadályozható lett volna az egész incidens, ha a cég belső rendszereihez, de legalább azokhoz, amelyekben személyes adatok is szerepelnek, „már a támadás időpontjában is csak kétfaktoros hitelesítést követően lehetett volna hozzáférni”.

Azóta biztonságosabb lett a KRÉTA

Utána még többször is hasonló támadás érte az e-naplót, azonban nyáron írtunk róla, hogy mindenkinek elérhetővé tették a biztonságosabb, külső alkalmazásos azonosítást is igénybe vevő kétfaktoros belépést a KRÉTA-ban. Az erről szóló teljes cikkünket innen érhetitek el: