Évekkel van lemaradva a KRÉTA és a Neptun az adatvédelmi trendektől

Az utóbbi időben a KRÉTA kapcsán leginkább az ellene elkövetett hackertámadásoktól volt hangos a sajtó. Novemberben tizenévesek törték fel a rendszert, májusban pedig a TikTokon is terjedni kezdett egy videó a KRÉTA feltörésével kapcsolatban. Az egyetemisták sem maradtak ki a támadásokból, ugyanis áprilisban több nagy egyetemen is trágár üzeneteket kaptak a hallgatók. Mit lehet ez ellen tenni?

  • Tornyos Kata
Tavaly novemberben feltörték a minden oktatási intézményben használt KRÉTA adatbázisát és diákok adataihoz is hozzáférhettek a támadók. Bár a fejlesztő cég megpróbálta eltussolni az ügyet, de a hackerekről kiderült, hogy egy 15 és egy 13 éves fiatal. Majd a forráskódokból elkezdtek közzétenni közösségi oldalakon, amely arra engedett következtetni, hogy a rendszer biztonsági megoldásai messze nem a legtökéletesebbek.
„Azért itt vannak tehetségek. Itt volt a KRÉTA-rendszernek a feltörése. Nem fogják elhinni, egy 13 éves és egy 15 éves gyerek törte föl. Tehát van azért jó képzés, van jó példa” – mondta el Pintér Sándor decemberben egy kiszivágott beszédjében.
Azóta idén már támadás érte a Neptun egyetemi tanulmányi rendszerét is, illetve a szigorított biztonsági intézkedések ellenére újra több iskolában számolnak be arról, hogy KRÉTÁ-n tanárok nevében küldenek kamu üzeneteket.

Az rtl.hu utánajárt a KRÉTÁ-t és a Neptunt ért támadásoknak, az oktatási informatikai rendszerek sebezhetőségeinek és annak, mennyire hatékonyak a fejlesztők válaszlépései (a rendszer adatvédelmi hibáiról mi is írtunk májusban). A Híradónak a novemberi támadás után elárulták, hogy a Készenléti Rendőrség Nemzeti Nyomozó Iroda büntetőeljárást indított az ügyben.

„Arra tippelek, hogy volt munkavállaló adott tippet. Tehát itt nem arról van szó, hogy a fiatalok valami oltári nagyot alkottak”

– értékelte az rtl.hu-nak a feltörést Dr. Bencsáth Boldizsár, a BME Adat- és Rendszerbiztonság Laboratóriumának (CrySyS Lab) munkatársa.

A tavaly őszi esetről még mindig nem tudni, hogy biztosan feltörésről van-e szó, pontosan mit szereztek meg a hekkerek, és milyen módszerrel követték el a behatolást. Azonban a nyilvánosságra került információk alapján erős a gyanú, hogy az esetről nem tájékoztatták megfelelően az adatvédelmi hatóságokat.

A GDPR kemény jogszabály, és ha tényleg nem jelentették időben, akkor annak sok százmillió forintos következményei lehetnének. Ha igazak voltak az információk, akkor már ennek a nagy bírságnak be kellett volna ütnie - mondta a szakértő.

Hogyan lehet védekezni ellene?

Az események rávilágítottak, hogy ezek a rendszerek évekkel elmaradtak az IT és webbiztonság jelenlegi trendjeitől, és jelentős átgondolásokra, fejlesztésekre van szükség, hogy korszerűnek, biztonságosnak, és megbízhatónak mondhassuk azokat – mondta a BME munkatársa a lapnak.
A fejlesztőcég válaszul az esetekre elkezdte bevezetni a kétlépcsős azonosítást, ami azt jelenti, hogy már nem elég beírni a felhasználüónevet és a jelszót, a belépést meg kell erősíteni egy SMS-ben kapott biztonsági kóddal is. Azt még nem tudni, hogy ez a funkció mindenki számára kötelező lesz-e vagy csak opcionális, de az rtl.hu-nak nyilatkozó etikus hekker szerint ahol lehetséges, ott be kell kapcsolni a kétfaktoros hitelesítést.
Hozzászólások

Kormánybiztos lesz Bódis Kriszta, a kultúráért felelős tárcát Tarr Zoltán, a tudományos területet pedig Tanács Zoltán irányíthatja

Magyar Péter kormánybiztosnak kérte fel Bódis Krisztát, aki a társadalompolitikai stratégia kialakításán dolgozhatna, Tarr Zoltán a kultúráért és társadalmi kapcsolatokért felelős minisztérium élére kerülhetne, míg Tanács Zoltán a Tudományos és Technológiai Minisztérium irányítását kaphatná meg.

Campus life
Palotás Zsuzsanna
@eduline.hu A számológépetek többet segíthet a matekérettségin, mint gondolnátok. A @studium_generale matekosai most megmutatják, hogyan spórolhattok akár 10 percet a számolások idejéből. #érettségi #érettségi2026 #fyp #szponzorálttartalom #raiffeisenbank ♬ eredeti hang - eduline.hu