Évekkel van lemaradva a KRÉTA és a Neptun az adatvédelmi trendektől

Az utóbbi időben a KRÉTA kapcsán leginkább az ellene elkövetett hackertámadásoktól volt hangos a sajtó. Novemberben tizenévesek törték fel a rendszert, májusban pedig a TikTokon is terjedni kezdett egy videó a KRÉTA feltörésével kapcsolatban. Az egyetemisták sem maradtak ki a támadásokból, ugyanis áprilisban több nagy egyetemen is trágár üzeneteket kaptak a hallgatók. Mit lehet ez ellen tenni?

  • Tornyos Kata
Tavaly novemberben feltörték a minden oktatási intézményben használt KRÉTA adatbázisát és diákok adataihoz is hozzáférhettek a támadók. Bár a fejlesztő cég megpróbálta eltussolni az ügyet, de a hackerekről kiderült, hogy egy 15 és egy 13 éves fiatal. Majd a forráskódokból elkezdtek közzétenni közösségi oldalakon, amely arra engedett következtetni, hogy a rendszer biztonsági megoldásai messze nem a legtökéletesebbek.
„Azért itt vannak tehetségek. Itt volt a KRÉTA-rendszernek a feltörése. Nem fogják elhinni, egy 13 éves és egy 15 éves gyerek törte föl. Tehát van azért jó képzés, van jó példa” – mondta el Pintér Sándor decemberben egy kiszivágott beszédjében.
Azóta idén már támadás érte a Neptun egyetemi tanulmányi rendszerét is, illetve a szigorított biztonsági intézkedések ellenére újra több iskolában számolnak be arról, hogy KRÉTÁ-n tanárok nevében küldenek kamu üzeneteket.

Az rtl.hu utánajárt a KRÉTÁ-t és a Neptunt ért támadásoknak, az oktatási informatikai rendszerek sebezhetőségeinek és annak, mennyire hatékonyak a fejlesztők válaszlépései (a rendszer adatvédelmi hibáiról mi is írtunk májusban). A Híradónak a novemberi támadás után elárulták, hogy a Készenléti Rendőrség Nemzeti Nyomozó Iroda büntetőeljárást indított az ügyben.

„Arra tippelek, hogy volt munkavállaló adott tippet. Tehát itt nem arról van szó, hogy a fiatalok valami oltári nagyot alkottak”

– értékelte az rtl.hu-nak a feltörést Dr. Bencsáth Boldizsár, a BME Adat- és Rendszerbiztonság Laboratóriumának (CrySyS Lab) munkatársa.

A tavaly őszi esetről még mindig nem tudni, hogy biztosan feltörésről van-e szó, pontosan mit szereztek meg a hekkerek, és milyen módszerrel követték el a behatolást. Azonban a nyilvánosságra került információk alapján erős a gyanú, hogy az esetről nem tájékoztatták megfelelően az adatvédelmi hatóságokat.

A GDPR kemény jogszabály, és ha tényleg nem jelentették időben, akkor annak sok százmillió forintos következményei lehetnének. Ha igazak voltak az információk, akkor már ennek a nagy bírságnak be kellett volna ütnie - mondta a szakértő.

Hogyan lehet védekezni ellene?

Az események rávilágítottak, hogy ezek a rendszerek évekkel elmaradtak az IT és webbiztonság jelenlegi trendjeitől, és jelentős átgondolásokra, fejlesztésekre van szükség, hogy korszerűnek, biztonságosnak, és megbízhatónak mondhassuk azokat – mondta a BME munkatársa a lapnak.
A fejlesztőcég válaszul az esetekre elkezdte bevezetni a kétlépcsős azonosítást, ami azt jelenti, hogy már nem elég beírni a felhasználüónevet és a jelszót, a belépést meg kell erősíteni egy SMS-ben kapott biztonsági kóddal is. Azt még nem tudni, hogy ez a funkció mindenki számára kötelező lesz-e vagy csak opcionális, de az rtl.hu-nak nyilatkozó etikus hekker szerint ahol lehetséges, ott be kell kapcsolni a kétfaktoros hitelesítést.
Hozzászólások

Gáspár mindössze 15 éves, mégis a világ egyik legrangosabb AI-konferenciáján mutathatja be saját kutatását

Még csak most ballagott el az általános iskolából, de már tudományos kutatóként készül a mesterséges intelligencia egyik legfontosabb nemzetközi konferenciájára. A 15 éves kecskeméti Tóth-Pócs Gáspár saját, önállóan készített tanulmányát fogják bemutatni az AGI 2026 konferencián San Franciscóban, ahol a világ vezető AI-kutatói is előadnak.

„Több mint száz óra pluszmunkáért bruttó 17 ezer forint járt” – így érzékeltette a pedagógusok túlzott adminisztrációs terheit Müller Anna

A pedagógusok teljesítményértékelésének felfüggesztéséről szóló törvényjavaslat záróvitáját tartották kedden a parlamentben. Bár az előterjesztéshez egyetlen módosító javaslat sem érkezett, a vitában így is ütköztek az álláspontok. A kormánypárt továbbra amellett érvelt, hogy a felfüggesztéssel a túlzott adminisztrációs terhek szűnnek meg, az ellenzék az alternatíva hiányát hangsúlyozta.

Havi legalább félmilliós fizetésért nyílt pályázaton keresi a minisztérium azokat a vezetőket, akik levezénylik a kekvák megszüntetését

Felsőfokú végzettséget és többéves szakmai tapasztalatot vár el az Oktatási és Gyermekügyi Minisztérium azon a nyílt pályázaton, amelyet a modellváltó egyetemeket fenntartó alapítványok új kuratóriumi és felügyelőbizottsági tagjainak kiválasztására írt ki. A kiválasztott szakemberek egyik legfontosabb feladata lesz, hogy közreműködjenek az alapítványok megszüntetésében és az egyetemek új fenntartói struktúrára való átállásában.