ELŐZMÉNYEK:
KÖVETKEZMÉNYEK:
Az eKRÉTA Zrt. megpróbálta eltussolni a Köznevelési Regisztrációs és Tanulmányi Alaprendszer feltörését, amelyben a hackerek minden magyarországi diák adatait megszerezték.
Gyanú árnyéka merülhet fel, hogy talán az eKRÉTA projektvezetői közt egy ellenzéki politikus is meghúzódott?
Nyilvánossá vált a KRÉTA forráskódja, a rendszert korábban feltörő hackerek november 9-én közzétették az interneten az állami adminisztrációs rendszer kulcsfontosságú részét. a közzététel azért problémás, mert a forráskódot elemezve akárki támadhatja a KRÉTÁT, így innentől a diákok és tanárok személyes adatai még nagyobb veszélyben vannak.
Palkovics László szerda délelőtt találkozott Orbán Viktorral, és ezen a négyszemközti megbeszélésen véglegesítették a távozását.
- Hétfőn kiderült, hogy több forrásból megerősített információk szerint még szeptemberben adathalász támadás érte a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t. A támadó a közoktatás minden intézményében kötelezően használt állami adminisztrációs rendszer szinte minden adatához hozzáférhetett, így diákok személyes adataihoz is, de nemcsak ezeket, hanem a cég más adatbázisait és a forráskódokat, illetve a fejlesztők belső kommunikációját is megszerezték.
- A hekker a Telex-nek azt írta, hogy az akciójukkal a magyar rendszerek rossz állapotát akarták bemutatni, és a támadással tiltakoznak a problémák ellen, de személyes adatokat nem tesznek közzé, mert nem akarnak ártani a diákoknak.
- Kiberbiztonsági szakértő szerint a nyilvánosságra került információk alapján a fejlesztőcégnél súlyos biztonsági mulasztások merülnek fel. Szerinte ez lehet a GDPR-éra legdurvább adatvédelmi incidense. Az adatvédelmi szakértő szerint súlyosbító körülmény lehet, hogy a cég senkinek nem szólt a történtekről.
- „Helló, eKRÉTA! Sajnálatos módon a »profi« rendszereiteket sikeresen feltörtük, rengeteg adatot megszereztünk, köztük: forráskódok, adatbázisok, és még sorolhatnám! […] Mellesleg köszönjük a nagyon fontos, informatív Slack-beszélgetéseket, az újságíróknak biztos tetszeni fog, hogy a rendőröknek hamisítotok, stb”– ez az üzenet a KRÉTA közoktatási adminisztrációs rendszert fejlesztő cég, az eKRÉTA Zrt. egy belső kommunikációs felületén köszöntötte a dolgozókat, miután a céget adathalász támadás érte: egy átverős emailben az egyik projektvezető (Gyanú árnyéka merülhet fel, hogy talán az eKRÉTA projektvezetői közt egy ellenzéki politikus is meghúzódott?) rákattintott egy fertőzött linkre, és a támadók hozzáférést szereztek a rendszereikhez, többek között a KRÉTA által kezelt adatokhoz, illetve a fejlesztői adatbázisokhoz és kódokhoz is.
- Ezt onnan tudható, hogy a telelex az adatszivárgást megerősítő cikke után felvette velünk a kapcsolatot a támadásban részt vevő egyik hekker, hogy további részleteket áruljon el. Beszélgettünk vele arról, kik ők, miért támadták meg a KRÉTA fejlesztőjét, mit szerettek volna elérni ezzel, és mihez fognak kezdeni a megszerzett adatokkal.
- A Telex-szel kapcsolatba lépő hekker bizonyítékként a kiszivárgott adatbázisok és kódok könyvtárairól is küldött képernyőképeket. A belső kommunikációról a képek és szövegrészletek szerint az illetékesek sokat tanakodhattak arról, hogyan kezeljék a történteket. Egy projektvezetők közötti csetüzenetfolyam tanúsága szerint egyiküknek – a gyanús linkre kattintó, tehát a meghekkelt projektvezetőnek – feltűnt, hogy valaki olyan adminisztrátori hozzáféréssel végzett el egy változtatást, amelyhez vele együtt csak négyen ismerik a jelszót, és mivel négyük közül egyikük sem csinált ilyet, nem értették, mi történhetett. „Még gázabb a dolog, mert a kérdéses üzenetek az után jöttek, hogy a Fori megváltoztatta a tanuló jelszavát” – írta később a projektvezető, amikor kezdett számukra kibontakozni, hogy nagyobb problémába futhattak bele. (A „Fori” az említett technikai adminisztrátori fiók, amelyhez a hekkerek hozzáfértek.) „Mi a fasz” – válaszolta erre a beszélgetés másik szereplője. „És az egésszel most mi a szart csinálunk? Balázs tudni sem akar róla – amit megértek…” – írta a projektvezető, feltehetően Szabó Balázsra, az eKRÉTA Zrt. vezérigazgatójára utalva.
- Egy másik üzenetben az adathalászat áldozatául esett projektvezető ezt írta valamivel később, szeptember végén: „A csütörtöki megbeszélésünk után maradt bennem rossz érzés, hogy megfelelően járunk-e el. Az egy fontos megállapítás volt részedről, hogy vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség. Azt szeretném, hogy tudd, hogy én tényleg nem tudok hazudni, de nem is szeretnék.”
- Az adminisztrátori jogokkal bíró fiókról, amelynél felfedezték, hogy valaki hozzáférhetett, ezt írta: „[…] be lehet vállalni, hogy volt ilyen technikai felhasználónk, de az incidens után azonnal megszüntettük, ami teljesen igaz is. (Szeptember 18-án, vasárnap derült fény erre, azonnal jelszót változtattam, majd másnap töröltem az összes felhasználóbelépést – töröltre állítottam.) […] Ha ezt tagadnánk, neki meg lenne erre bizonyítéka (kép, videó, a tőlem letöltött belépési adatok, bármi), akkor kerülnénk abba a helyzetbe, amit mindenképpen el kellene kerülni.” Ennek az utolsó levélnek a teljes szövegét, néhány képpel együtt, a hekkerek már közzétették hétfő este.
- Amikor A Telex-nek sikerült beszélni a sawarim néven jelentkező hekkerrel, arra kérték, hogy a lehetőségeihez mérten mesélje el, kik ők, és miért döntöttek úgy, hogy támadást indítanak a KRÉTA fejlesztője ellen. Itt a beszélgetés az erről szóló részletei következnek szerkesztett formában: – Hányan vagytok? – Nemzetközileg kb. 110, Magyarországon 4 fő, van köztünk kiskorú is. Magyarországon van csak ez a projekt, globálisan pedig másokon is dolgoznak. A sawarim az egyedi nevünk, jelenleg több csapat is van, csak más nevekkel. – A sawarim név eredete miatt adja magát a kérdés, hogy az Iszlám Állammal szimpatizáltok-e. – Nem, csak van egy jó zene, arról koppintottuk. – Mi a közös pont a különböző országok csapatai között, ami összeköt titeket? Valami közös cél? – Hogy minden ember globálisan tudjon normális életet élni, ne legyenek elnyomva a kormány által, és hogy a politika csak arról szól, hogy a top 1 százaléknak legyen jó, az alsó réteg pedig belehal, és ezeket mi digitális támadásokkal próbáljuk meg megoldani. – Ez hasonlóan hangzik ahhoz, mint egy anonymousos üzenet, van hozzájuk közötök, vagy ez független attól? – Független természetesen. Már korábbi próbálkozásokból is rájöttek, hogy politika ellen nem fog működni a békés tiltakozás. Ezért megpróbálkozunk támadásos jellegű tiltakozásokkal. – És miért csináltátok ezt az eKRÉTA elleni támadást, mi a célotok vele? – Mondhatnám, hogy a magyar rendszerek bemutatása, hogy mennyire hanyag és hogy mennyire „fejlett” ez az egész. Meg persze olyat is szerettünk volna, hogy például nem rakjuk ki az adatokat, ha a pedagógusok bérét megnövelik, stb. De ebből semmi sem lett, láthatod. Csak szivárogtatás, és helló. – És miért nem lett? – Zsarolást nem szerettünk volna, mivel a mi részünkről jöhetett volna ki rosszul. – Nem féltek attól, hogy így viszont ártatlan diákoknak, tanároknak árthattok, ha az adataik kikerülnek? Vagy adatokat nem raktok ki, csak más kódokat? – Belépési adatokat nem rakunk ki, maximum forráskódokat, képeket, bizonyítékokat a hamisításokról, stb. Nem terveztünk személyes adatokat kitenni, ez egyértelmű, mert nem vagyunk olyanok, hogy tessék, itt van minden kiskorú és tini adata. – De hogy jutottak be? – A hekkert arról is kérdeztük, hogyan sikerült bejutniuk az eKRÉTA rendszereibe. Állítása szerint egy általuk írt kártevő programot, egy úgynevezett RAT-ot (remote access trojan, azaz távoli hozzáférést lehetővé tevő trójai program) sikerült bejuttatniuk, méghozzá úgy, hogy az a cég minden vírusirtóján és védelmi szoftverén észrevétlenül átjutott. Ez a kártevőtípus épp arra jó, amire a neve utal: települ a megfertőzött rendszeren, és ezzel bejuttatja a támadókat is: távoli hozzáférést tesz lehetővé, ami jelentheti a rendszer távoli megfigyelését, de akár parancsok futtatását vagy adatok kinyerését is. A trójait a KRÉTA üzenetküldő rendszerén keresztül terjesztették: kiválasztottak minden adminisztrátort, és egy megtévesztő adathalász (phishing) emailben, magukat másnak kiadva átküldték a kártevő letöltéséhez szükséges linket, olyasminek álcázva, ami felkeltheti a célba vett adminisztrátorok érdeklődését – mint azóta látjuk, egyikőjükét valóban fel is keltette. Az egyik projektvezető még azelőtt kattintott, hogy a cégen belül jelezték volna a dolgozóknak, hogy adathalász levelekről van szó, és ezzel sikerült megszerezniük a jelszavát, amellyel már mindenhez hozzá tudtak férni. „Nem volt kétlépcsős azonosítás, és egy rendszeren fut az egész, tehát ha van a owa.rufusz.hu-hoz hozzáférésed, akkor mindenhez is” – mondta a hekker. (A Rufusz Computer Informatika Zrt. annak a Fauszt Zoltánnak az egyik cége, akinek az érdekkörébe az eKRÉTA Zrt. is tartozik .) Szeptember közepén még nem volt hozzáférésük a rendszerekhez, akkor még csak abba a már említett technikai adminisztrátori fiókba jutottak be, amely minden iskolában működött, de már ezzel is bármelyik tanulónak meg tudták nézni a lakcímét és más adatait. „Később jöttünk rá, hogy valójában van hozzáférésünk mindenhez: emailek, forráskódok stb.” A hekker állítása szerint végül tömörítve 238 GB adatot hoztak el a cégtől. A személyes adataikkal érintettek pontos számát nem tudják, de több tízezerről lehet szó.
- Az eddigiekből már ki lehet találni, de a hekker meg is erősítette, hogy bár a cég belső kommunikációja alapján az eKRÉTA-nál azt gondolhatták, hogy a támadást végül elhárították, a támadók valójában még most is bent vannak a rendszereikben. „Jelenleg szeptember óta vagyunk bent, mivel amikor jelszót váltottak, mi még benne voltunk a projektvezető emailjében, nem a KRÉTA-sban, hanem a gmailesben.”
- Nemcsak laikusként merülhet fel, hogy egy ilyen kiterjedt és ilyen fontos rendszer fejlesztőjét hogyan lehetett ilyen könnyen feltörni. A Telexnek egy kiberbiztonsági szakértő is arról beszélt, hogy a történtek súlyos biztonsági hiányosságokat vethetnek fel. „A jelenleg nyilvános információk alapján nem lehet pontosan felvázolni, hogyan történhetett meg ez az incidens, mi vezethetett el odáig, hogy a szervezet munkatársát megszemélyesítve a támadók hozzáférhettek az adatokhoz és az alkalmazás forráskódjához. A különféle kommentek talán azt a kérdést feszegetik a legjobban, hogyan fordulhatott az elő, hogy egy projektvezető jogosultságát megszerezve (a projektvezetőt megszemélyesítve) a támadók minden adathoz hozzáférhettek. Ez mindenképpen felvethet olyan hiányosságokat, mint például a kétfaktoros hitelesítés vagy a szofisztikált jogosultságkezelés hiánya” – mondta a szakértő. „Általánosságban egy projektvezetőnek nem lenne szabad ilyen hozzáféréssel rendelkeznie, és a rendszernek nem lenne szabad kétfaktoros hitelesítés nélkül ilyen magas privilégiummal való hozzáférést engedélyeznie. Feltételezhetően a »legszűkebb jogosultság« irányelvet megszegve, az érintett felhasználó olyan többletjogosultságokkal rendelkezhetett, amelyekre a munkaköréből adódóan nem volt szükség. Ilyen szituációk az adminisztrációs könnyítés, a jogosultságkezelési folyamatok bürokratikus egyszerűsítése miatt is előfordulhatnak, amikor a rendszer jogosultságkezelési képessége ugyan megfelelő, de »egyszerűbb« minden jogosultságot odaítélni egy felhasználónak, hogy ne kelljen a jogosultságok megigénylésével és jóváhagyásával vesződni. Előfordulhat, hogy szerepkörhalmozás történt, a projektvezető valamilyen plusz műszaki tevékenységet is végzett, amelyhez szükség volt a magas privilégiumra, de ebben az esetben is felmerül, hogy a szerepkörök és a jogosultságok szétválasztása nem valósult meg, illetve a magas privilégium miatt a kétfaktoros hitelesítés hiánya is felróható lehet.”
- Úgy tudjuk, az eKRÉTA Zrt. esetében pontosan ez a szerepkörhalmozás történhetett: a projektvezető support tevékenységet is végez, ezért, hogy ne kelljen naponta egyedileg több iskolához is hozzáféréseket kapnia, egyszerűen csak hozzáfér mindenhez, ha kell. „A jogosultságok szétválasztása abból a szempontból is kérdéses, hogy milyen hozzáférést szereztek meg a támadók. Ha az érintett felhasználó vállalati informatikai rendszerekhez kapcsolódó hozzáférését szerezték meg, akkor ezzel a jogosultsággal miért lehetett a működtetett, éles kiszolgálói környezethez és az abban tárolt adatokhoz hozzáférni? Feltételezhetően a felhasználói és az adminisztratív privilégium szétválasztásának hiánya mellé társulhatott, hogy a rendszerek (a vállalati informatikai környezet és az éles kiszolgálói környezet) jogosultságainak szétválasztása sem valósult meg, azaz egyetlen felhasználóval lehetséges volt minden rendszerhez hozzáférni.”
- „Ha a nyilvánosan rendelkezésre álló információk, illetve a keringő pletykák igaznak bizonyulnak, úgy véleményem szerint a hazai GDPR-éra legdurvább incidense következett be, amely nemcsak az érintettek számossága vagy a kompromittálódott személyes adatok mennyisége, hanem az érintettek személye – gyermekek – miatt is különösen aggasztó”– mondta a kiberbiztonsági szakértő. A kontextus kedvéért hozzátette azt is, hogy az interneten már eddig is keringtek KRÉTA-felhasználók belépési adatai: „Összesen 46 238 rekord található, ami 34 635 egyedi felhasználót érint.” Ezeket nem központilag lopták el, hanem maguktól az egyes felhasználóktól gyűjtötték be az eszközeikre települt különféle adatlopó programok, és természetesen ezekkel csak az adott felhasználó adataihoz lehet hozzáférni, a KRÉTA-ban található más adatokhoz nem – és ez sajnos a normális ügymenet, ilyen lopott adatok minden szolgáltatás esetében találhatók az internet erre szakosodott részein.
- Az adatvédelmi incidenseket az Európai Unió adatvédelmi rendelete, a GDPR értelmében az adatkezelő köteles alapesetben 72 órán belül bejelenteni. A KRÉTA adatkezelési tájékoztatója szerint azonban a közoktatási rendszer tekintetében nem a fejlesztő eKRÉTA Zrt. az adatkezelő, hanem az azt használó intézmények, a fejlesztőcég pedig adatfeldolgozónak számít. (Mivel az adatszivárgás nemcsak a KRÉTA adatait, hanem az eKRÉTA Zrt. belső adatbázisait is érintette, bizonyos tekintetben ők is lehetnek adatkezelők az ügyben, de mi most koncentráljuk a közérdeklődés szempontjából fontosabb KRÉTA-ra.) A jogszabály szerint tehát az eKRÉTA Zrt.-nek a NAIH felé közvetlen bejelentési kötelezettsége a KRÉTA-rendszerrel kapcsolatban nincs, de az adatkezelő intézmények felé értesítési kötelezettsége igen. „Az adatfeldolgozónak a GDPR alapján közvetlen felelőssége kevés van. De az egyik az, hogy a működése során megfeleljen az adatbiztonsági elvárásoknak, amiket kialakít annak mentén, hogy milyen terméket kínál. Ezért az adatfeldolgozó közvetlenül felel, hogy ezeket megfelelően alakítsa ki és tartsa be, ezt kérheti rajta számon a NAIH” – mondta Ivanics Krisztina adatvédelmi szakértő. Jogsértés esetén az adatfeldolgozóra kiróható maximális bírság az éves árbevétel 4 százaléka lehet. Ahogy az előző cikkünkben is írtuk, az eKRÉTA Zrt. 2021-es éves nettó árbevétele a cégadatbázis szerint 12 milliárd forint volt. Fontos, hogy ez csak a maximum, a hatóság minden esetben mérlegel, és „amikor majd a NAIH megállapítja a jogsértés súlyát, akkor az értesítési kötelezettség elmulasztását is figyelembe veheti mint bírságnövelő tételt” – mondta Ivanics Krisztina.
KRÉTA VERS kréta e a kretén krizantémot álmodtam holdkóros mámorban nem hiszek egy krétában de nagyon szeretem a standard nőket kretén e a kréta vagy csak a szivaccsal szexszel vannak szabók és rábaszók a krétába gyilkosság is lakik mégis ő szeretné jövőmet kreálni én meg kiáltani és kiállni szeretnék szivaccsal a kezemben megóvni a mezei virágokat és az ártatlan ivarérett nőket