Lopott KRÉTA-jelszavak kerültek a dark webre

Újabb adatvédelmi incidens érinti a KRÉTA közoktatási rendszert, ezúttal a felhasználói jelszavak illetéktelen kezekbe kerüléséről van szó. A szülőknek jelszóváltoztatást javasolnak, és felhívják a figyelmüket a kéttényezős hitelesítés beállításának fontosságára.

A Telex információi szerint több iskolában is a KRÉTA felhasználói olyan rendszerüzenetet kaptak, amely arról tájékoztatja őket, hogy jelszavaik érintettek lehetnek egy adatvédelmi incidensben, és illetéktelenek megpróbálhatnak belépni a fiókjaikba. Az Educational Development Informatikai Zrt. (EduDev) által értesített iskolákban a Nemzeti Kibervédelmi Intézet (NKI) vizsgálata alapján felmerült az a gyanú, hogy a KRÉTA felhasználónevek és jelszavak a dark weben keresztül válhatnak hozzáférhetővé. A felhasználóknak ezért javasolják a jelszavak mielőbbi megváltoztatását, a fiókadatok, például a megadott bankszámlaszám ellenőrzését és a kéttényezős hitelesítés beállítását.

Az EduDev, az NKI, a Klebelsberg Központ (KK), valamint a Nemzeti Szakképzési és Felnőttképzési Hivatal (NSZFH) egyelőre nem reagált a megkeresésekre, de független források megerősítették az üzenetek valódiságát. A Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) is bejelentést tettek az incidensről.

A rendszerüzenet hangsúlyozza, hogy az érintettség nem jelenti a fiókok feltörését, hanem azt, hogy az elkövetők a megszerzett adatok felhasználásával próbálhatnak belépni a rendszerbe. Hasonló támadások történtek a múltban más szolgáltatásokkal, mint például a Simple-lel, ahol a támadók egy másik szolgáltatásból lopott adatbázis segítségével próbáltak bejelentkezni a felhasználói fiókokba. A támadók gyakran használnak olyan módszereket, amelyekkel több szolgáltatásnál is kipróbálják a lopott jelszavakat, kihasználva, hogy sokan ugyanazt a jelszót használnak több helyen is.

A KRÉTA felhasználói jelszavait valószínűleg nem közvetlenül a rendszerből lopták el, hanem a felhasználóktól maguktól, esetleg több másik jelszóval együtt. A hekkerek gyakran használnak info stealereket, amelyek a gépekre települve gyűjtik be az áldozatok felhasználóneveit és jelszavait. Ezeket a kártevőket emailben, hirdetésekben vagy akár YouTube-videók alatt terjesztik. A Proofpoint amerikai kiberbiztonsági cég jelentése szerint a támadók olyan YouTube-videókat tesznek közzé, amelyek látszólag segítséget nyújtanak valamilyen feltört szoftver letöltéséhez, de valójában jelszólopó kártevőket terjesztenek.

A KRÉTA esetében a pontosan érintett felhasználók száma nem ismert, de pletykák szerint akár 200 ezer jelszó is keringhet a neten. A KRÉTA rendszernek összesen körülbelül 3,5 millió felhasználója van.

A KRÉTA fejlesztője 2022 szeptemberében hekkertámadás áldozata lett, amelynek következményeként a NAIH 110 millió forintos bírságot szabott ki a cégnek, és megállapította, hogy több mint húszezer ember személyes adatai kerültek illetéktelen kezekbe. A vizsgálat hatására a fejlesztőcég számos biztonsági intézkedést vezetett be, köztük a kéttényezős hitelesítést, amelyet a KRÉTA intézményi adminisztrátorainak 2024 első negyedévében kötelezővé tesznek, de már most is beállítható. A NAIH határozatából kiderült, hogy a fejlesztőcég egy külső állami tulajdonú vállalkozást bízott meg a dark web feltérképezésével, hogy megtudják, a KRÉTA felhasználóinak adatai felkerültek-e oda. A vizsgálat eredménye még nem ismert, de a rendszerüzenetek arra utalnak, hogy a vizsgálat során találhattak kiszivárgott adatokat a dark weben.