110 milliós büntetést kapott a KRÉTA rendszer fejlesztője, miután az adatvédelmi hatóság kivizsgálta a 2022-es incidenst, súlyos hiányosságokat találtak, legalább 20 000 ember személyes adatai kerültek illetéktelen kezekbe.
2022 novemberében mi is beszámoltunk a szeptemberi hekkertámadásról, akkor még nem lehetett tudni, hogy valóban megtörtént-e. A rendőrségi és a kormányzati nyomozás eredménye azóta sem ismert, a Nemzeti Adatvédelmi és Információszabadság Hatóság határozatából azonban számos részlet kiderült.
Nem kizárt, hogy több millió felhasználó érintett
A NAIH arra jutott, hogy legalább 20 000 ember személyes adatai kerültek illetéktelen kezekbe, de a fejlesztőcég nem tudta bizonyítani, hogy ez nem történt meg minden felhasználóval.
A cég saját bevallása szerint szeptemberben még „semmilyen információjuk nem volt arra vonatkozóan, hogy személyes adat került volna ki”.
A támadás sikeréhez egy vírusos levélen keresztül vezetett az út, melynek csatolmányát a cég egyik alkalmazottja megnyitotta, a kártékony kód lefutott a számítógépén és a támadók rendelkezésére bocsátotta a KRÉTA rendszerhez használt bejelentkezési adatokat, és az illető Google fiókja felett is hosszabb távon kontrollt szereztek.
A vállalat ugyan lecserélte az alkalmazott számítógépét, régi fiókját deaktiválták és új hozzáférést kapott, annak jelszavát ugyanabba a Google fiókba mentette, melyhez a támadók is hozzáfértek – így továbbra is a rendszerben maradhattak.
A hatóság szerint alapvető hiányosságok miatt következhetett be a magas kockázatú incidens, például nem használtak kétlépcsős azonosítást, nem kezelték megfelelően az esetet, úgy fogalmaztak, hogy a fejlesztőcég „könnyelműen bízott a támadások elmaradásában, és […] a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan, a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott”.
A KRÉTA rendszer fejlesztője azóta több lépést is tett a hasonló támadásokkal szembeni hatékonyabb védelem érdekében, például főszabály szerint letiltották a rendszer külföldi elérését, titkosítást vezettek be a tárolt adatokra, elkezdték a kétlépcsős azonosítás használatát, szigorítottak a fejlesztői környezetben használt kódok kezelésén, megtiltották a jelszavak böngészőbe mentését és a magán Google profil használatát a munkahelyi eszközökön.
A rendszerben rengeteg adatot tárolnak. A személyes adatok körébe tartozik minden igazolvány száma, TAJ-szám, bankszámlaszám, lakcím, telefonszám, email-cím, a szülők telefonszámai, elérhetőségei, jegyek, hiányzások, orvosi igazolások, egészségügyi adatok.
A NAIH határozata alapján „ezek között ráadásul van számos olyan, melyek nyilvánosságra kerülése az érintettet különösen hátrányosan érintheti, pl. küzd-e a tanuló beilleszkedési, tanulási, magatartási, nevelési nehézséggel; sajátos nevelési igényű-e; államilag gondozott-e; részesül-e szociális támogatásban vagy rendszeres gyermekvédelmi kedvezményben. Bár nem kötelező elem, de akár a tanuló vallása is megjelenhet”.
Érdemes fokozottan odafigyelni
Ha a kikerült adatokat elkezdik felhasználni, azok kiválóan alkalmasak lehetnek célzott adathalász támadások, csalások segítésére. Amennyiben a KRÉTA rendszerben tárolt elérhetőségekre érkezik gyanús levél, vagy az ott megadott telefonszámunkon keresnek minket, érdemes azt fokozott figyelemmel kezelni.
Továbbá, láthatjuk, hogy a gyanús linkekre kattintásnak súlyos következményei lehetnek, így lehetőleg kerüljük el azt, a gyanús íméleket jelentsük a szolgáltatónak – ezt a közösségi platformokon is érdemes megtenni, ahol szintén adathalász támadásokkal találkozhatunk, nap mint nap.
A kiemelt kép forrása: Pexels
Súlyos adatszivárgás történhetett, feltörhették a KRÉTA rendszert
