Nyilvánosan közzétették a magyar közoktatásban használt informatikai rendszer forráskódját

2022 / 11 / 09 / Bobák Áron
Nyilvánosan közzétették a magyar közoktatásban használt informatikai rendszer forráskódját
Szeptemberben hekkerek egy csoportjának adathalász módszerekkel sikerült bejutnia az eKRÉTA Zrt. rendszereibe, így hozzáférést szereztek a magyar közoktatásban használt teljes informatikai rendszerhez is. A támadók kedd délután közzétették a szoftver teljes forráskódját, ami alapján bárki kiaknázhatja annak sebezhetőségeit.

A Telex.hu hétfőn számolt be róla, hogy szeptemberben hekkereknek egy trójai vírus segítségével sikerült bejutniuk az eKRÉTA Zrt. rendszereibe, így többek között teljes hozzáférést szereztek a magyar közoktatásban kötelezően használt állami adminisztrációs rendszerhez, a KRÉTA-hoz (Köznevelési Regisztrációs és Tanulmányi Alaprendszer) is. Ez azt jelenti hogy a hekkerek számára elérhetővé váltak a diákok személyes adatai, az intézmények dolgozóival kapcsolatos információk és gazdálkodásával kapcsolatos adatok is. A hekkerek a személyes adatokon, jegyeken kívül olyan érzékeny információkhoz is hozzáfértek, mint a tanulók egészségügyi adatai, a fogyatékossággal kapcsolatos információkat is beleértve.

A Telegramon Sawarim$ néven kommunikáló hekkerek szerdán, nem sokkal délután fél 5 után közzétették a szoftver forráskódját, amihez azóta is bárki szabadon hozzáférhet. Hogy ez mit jelent a gyakorlatban, arról Makay József kiberbiztonsági szakértőt, a Makay.net tulajdonosát kérdeztük, aki a következőt válaszolta a kérdésünkre:

"A forráskódban olyan sérülékenységek azonosíthatók be, amiket külső sérülékenységvizsgálattal jóval időigényesebben és erőforrás-igényesebben lehet csak megismerni. Mivel a forráskódot végül publikálták, jóval egyszerűbbé és gyorsabbá (egy-két nap) vált az olyan támadó kódok kifejlesztése, amik kompromittálhatják a rendszer működését és a benne kezelt adatokat, méghozzá egyetlen kattintással, akár laikusok által is elvégezve."

Arra a kérdésünkre, hogy ez azt jelenti-e, hogy a bárki hozzáférhet az összes magyar tanuló adataihoz, a szakértő azt válaszolta, hogy ha olyan sérülékenységet találnak a forráskódban, ami egyszerűen kihasználható, akkor lényegében bárki hozzáférhet a szenzitív adatokhoz, azonban a szolgáltatást időközben leállították, és megkezdték a javítást, ezzel pedig csökkent az esélye, hogy támadók a távolból ki tudjanak használni egy kritikus sérülékenységet.

A Telex szerdán arról számolt be, hogy a hekkercsoport egyik tagja felvette velük a kapcsolatot, és bizonyítékokat mutatott be azzal kapcsolatban, hogy az eKRÉTA Zrt.-nél már korábban tudtak róla, hogy a rendszerük kompromittálódott, azonban ezt egészen a hétfői cikk megjelenéséig igyekeztek titokban tartani. A nemzetközi szinten körülbelül 110 fős, Magyarországon pedig 4 taggal működő hekkercsoport a lapnak nyilatkozó tagja azt mondta, hogy az akciójukkal arra akarták felhívni a figyelmet, hogy mennyire elmaradott a magyar informatikai rendszer, ám személyes adatokat nem fognak kirakni, mert nem a diákoknak akarnak ártani.

Frissítés, 2022. 11. 09, 23.11: Az KRÉTA rendszer a cikk írásakor elérhetetlen volt, jelenleg viszont működik. Megkérdeztük a fejlesztőt, hogy a leállás összefüggésben volt-e a forráskód kiszivárgásával valamint hogy kijavították-e a hibákat. Amit válaszolnak, frissítjük a cikket.

(Borítókép: Varga György/MTI)

Adathalászok szerezhették meg az ország szinte összes diákjának az adatait A hírek alapján úgy tűnik, hogy egy phishing támadás fogott ki a KRÉTA-n dolgozó fejlesztőcég egyik alkalmazottján.


Ismerd meg a ROADSTER magazint!
AUTÓK - DESIGN - GASZTRO - KULT - UTAZÁS - TECH // Ha szereted a minőséget az életed minden területén, páratlan élmény lesz!
Autót vennél mostanában? Nézz bele a PLAYER AUTÓTESZT ROVATÁBA!
Minden friss és izgalmas autót kipróbálunk, amit csak tudunk, legyen az dízel vagy elektromos, olcsó vagy luxus, kétszemélyes vagy kisbusz!
Ezek is érdekelhetnek
HELLO, EZ ITT A
RAKÉTA
Kövess minket a Facebookon!
A jövő legizgalmasabb cikkeit találod nálunk!
Hírlevél feliratkozás

Ne maradj le a jövőről! Iratkozz fel a hírlevelünkre, és minden héten elküldjük neked a legfrissebb és legérdekesebb híreket a technológia és a tudomány világából.



This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.