Nyilvánosan közzétették a magyar közoktatásban használt informatikai rendszer forráskódját

2022 / 11 / 09 / Bobák Áron
Nyilvánosan közzétették a magyar közoktatásban használt informatikai rendszer forráskódját
Szeptemberben hekkerek egy csoportjának adathalász módszerekkel sikerült bejutnia az eKRÉTA Zrt. rendszereibe, így hozzáférést szereztek a magyar közoktatásban használt teljes informatikai rendszerhez is. A támadók kedd délután közzétették a szoftver teljes forráskódját, ami alapján bárki kiaknázhatja annak sebezhetőségeit.

A Telex.hu hétfőn számolt be róla, hogy szeptemberben hekkereknek egy trójai vírus segítségével sikerült bejutniuk az eKRÉTA Zrt. rendszereibe, így többek között teljes hozzáférést szereztek a magyar közoktatásban kötelezően használt állami adminisztrációs rendszerhez, a KRÉTA-hoz (Köznevelési Regisztrációs és Tanulmányi Alaprendszer) is. Ez azt jelenti hogy a hekkerek számára elérhetővé váltak a diákok személyes adatai, az intézmények dolgozóival kapcsolatos információk és gazdálkodásával kapcsolatos adatok is. A hekkerek a személyes adatokon, jegyeken kívül olyan érzékeny információkhoz is hozzáfértek, mint a tanulók egészségügyi adatai, a fogyatékossággal kapcsolatos információkat is beleértve.

A Telegramon Sawarim$ néven kommunikáló hekkerek szerdán, nem sokkal délután fél 5 után közzétették a szoftver forráskódját, amihez azóta is bárki szabadon hozzáférhet. Hogy ez mit jelent a gyakorlatban, arról Makay József kiberbiztonsági szakértőt, a Makay.net tulajdonosát kérdeztük, aki a következőt válaszolta a kérdésünkre:

"A forráskódban olyan sérülékenységek azonosíthatók be, amiket külső sérülékenységvizsgálattal jóval időigényesebben és erőforrás-igényesebben lehet csak megismerni. Mivel a forráskódot végül publikálták, jóval egyszerűbbé és gyorsabbá (egy-két nap) vált az olyan támadó kódok kifejlesztése, amik kompromittálhatják a rendszer működését és a benne kezelt adatokat, méghozzá egyetlen kattintással, akár laikusok által is elvégezve."

Arra a kérdésünkre, hogy ez azt jelenti-e, hogy a bárki hozzáférhet az összes magyar tanuló adataihoz, a szakértő azt válaszolta, hogy ha olyan sérülékenységet találnak a forráskódban, ami egyszerűen kihasználható, akkor lényegében bárki hozzáférhet a szenzitív adatokhoz, azonban a szolgáltatást időközben leállították, és megkezdték a javítást, ezzel pedig csökkent az esélye, hogy támadók a távolból ki tudjanak használni egy kritikus sérülékenységet.

A Telex szerdán arról számolt be, hogy a hekkercsoport egyik tagja felvette velük a kapcsolatot, és bizonyítékokat mutatott be azzal kapcsolatban, hogy az eKRÉTA Zrt.-nél már korábban tudtak róla, hogy a rendszerük kompromittálódott, azonban ezt egészen a hétfői cikk megjelenéséig igyekeztek titokban tartani. A nemzetközi szinten körülbelül 110 fős, Magyarországon pedig 4 taggal működő hekkercsoport a lapnak nyilatkozó tagja azt mondta, hogy az akciójukkal arra akarták felhívni a figyelmet, hogy mennyire elmaradott a magyar informatikai rendszer, ám személyes adatokat nem fognak kirakni, mert nem a diákoknak akarnak ártani.

Frissítés, 2022. 11. 09, 23.11: Az KRÉTA rendszer a cikk írásakor elérhetetlen volt, jelenleg viszont működik. Megkérdeztük a fejlesztőt, hogy a leállás összefüggésben volt-e a forráskód kiszivárgásával valamint hogy kijavították-e a hibákat. Amit válaszolnak, frissítjük a cikket.

(Borítókép: Varga György/MTI)

Adathalászok szerezhették meg az ország szinte összes diákjának az adatait A hírek alapján úgy tűnik, hogy egy phishing támadás fogott ki a KRÉTA-n dolgozó fejlesztőcég egyik alkalmazottján.


Gamernek keresel karácsonyi ajándékot? Mondjuk a tuti tippeket!
Ha nem szoktál játszani, akkor gamer barátodnak vagy családtagodnak karácsonyi ajándékot választani extra kihívást jelent, ezért az Acer segítségével mondunk öt tippet, amivel sikert arathatsz.
Autót vennél mostanában? Nézz bele a PLAYER AUTÓTESZT ROVATÁBA!
Minden friss és izgalmas autót kipróbálunk, amit csak tudunk, legyen az dízel vagy elektromos, olcsó vagy luxus, kétszemélyes vagy kisbusz!
Célegyenesbe ért az EU mesterséges intelligenciáról szóló jogszabálya
Célegyenesbe ért az EU mesterséges intelligenciáról szóló jogszabálya
Megszületett a megállapodás az Európai Parlament és a Tanács között a mesterséges intelligenciával (MI) kapcsolatos törvényjavaslatról, amelynek célja, hogy az MI Európában biztonságos legyen, ne sértse az emberek alapvető jogait, ugyanakkor a technológia fejlődését is segítse.
A Microsoft bepillantást nyújtott azokba az új funkcióba, amelyek jövőre várják a felhasználókat
A Microsoft bepillantást nyújtott azokba az új funkcióba, amelyek jövőre várják a felhasználókat
A Microsoft nagy újításokat tervez, többek között érkezik a Deep Search is a Bing keresőbe, ami alapvetően más élményt nyújt majd a keresések során.
HELLO, EZ ITT A
RAKÉTA
Kövess minket a Facebookon!
A jövő legizgalmasabb cikkeit találod nálunk!
Hírlevél feliratkozás

Ne maradj le a jövőről! Iratkozz fel a hírlevelünkre, és minden héten elküldjük neked a legfrissebb és legérdekesebb híreket a technológia és a tudomány világából.



This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.