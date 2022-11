Valamikor szeptember 20. tájékán adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer (KRÉTA) fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t. Az adathalász támadás áldozata a cég egyik projektvezetője volt, ő kattintott az átverős email linkjére, amivel a támadók megszerezték a belépési adatait, melyekkel aztán hozzáférhettek a belső adatbázisokhoz. Olyan adatbázisokhoz, amelyekben a magyar közoktatásban dolgozók, tanulók, valamint még a tanulók szüleinek személyes, érzékeny adataihoz is hozzáférhettek.

Erről a rendkívüli, több százezer ember adatait érintő súlyos adatbiztonsági incidensről a Telex november 7-én megjelent cikkéből értesülhetett csak a közvélemény, de mint később kiderült, a hatóságok se tudhattak róla korábban. Hivatalos rendőrségi vizsgálat a cikk megjelenésekor még biztosan nem zajlott az ügyben. Nem véletlenül. Mint azt két nappal az eredeti cikk után a Telex megírta, az eKRÉTA Informatikai Zrt. igyekezett elhallgatni a problémát. A hekkerek a cég belső levelezéséhez is hozzáfértek, így ahhoz a levélhez is, amelyben a adathalászat áldozatául esett projektvezető azt írja egy munkatársának: "Az egy fontos megállapítás volt a részedről, hogy vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség".

A hekkerek azóta nyilvánosságra hozták a KRÉTA rendszer forráskódját is, arról, valamint az eset egyébb részleteiről is élénk párbeszéd kezdődött magyar fejlesztói körökben, részben nyilvános felületeken is. És bár a rendszer forráskódja is súlyos adatbiztonsági hiányosságokat tárt fel - egy, a neve elhallgatását kérő, fejlesztési vezető forrásunk az adatbázis SQL injection, vagyis az adatbázist tönkretevő kódok bejuttatási elleni védelmét úgy jellemezte, hogy az "olyan, mintha egy első éves egyetemista követte volna el. Minden programnyelvben vannak megoldások erre. A kissé kezdetleges megoldások is kb. 10-15 éve elavultnak számítanak. Ez a megoldás annak az elavult megoldásnak a töredékét se tudja, teljesen értelmezhetetlen" -, de annak megértéséhez, hogy mennyire súlyos hiányosságok vezettek a KRÉTA rendszer feltöréséhez, szerencsére nem kell elmélyednünk az informatikai adatbiztonság laikusok számára nehezen érthető világában. Legyen elég most annyi, hogy a hekkereknek el se szabadott volna jutniuk addig a pontig, ahol ez egyáltalán problémaként felmerülhetett volna.

Félreértés ne essék, az adatbázis nem megfelelő védelme nagyon súlyos probléma. "Ez kb. a legalapabb védelem, kötelező mindenhol. Ritka, hogy ilyen rossz megoldást lássál, mert ha a rendszer nyílt forráskódu, akko percek alatt kijavítják, ha pedig zárt, akkor nem szivárog ki, hogy ennyire rossz" - mondta erről fejlesztési vezető forrásunk. De ahhoz, hogy a hekkerek - akik jelen esetben nem kihasználni akarták a hibát, hanem felhívni rá a figyelmet, ezért nyilvánosságra hozták a rendszer forráskódját - egyáltalán idáig jussanak a rendszerben, már súlyos hiányosságok sora vezetett.

Érzékeny adatokkal foglalkozó cégeknél alapvető biztonsági intézkedés, hogy a cég privát hálózatához csak VPN-nel lehet csatlakozni, és még ahhoz is kétfaktoros hitelesítésre van szükség. Ez több szempontból is védelmet jelent. Egyrészt a VPN-csatlakozáshoz nem kell külső hivatkozásra kattintani, vagyis a belépési adatokat egyszerű adathalász trükkel nem lehet megszerezni. Másrészt, a kétfaktoros hitelesítés miatt a felhasználó azonnal értesül arról, ha valaki a jelszavával megpróbál hozzáférni a rendszerhez.

A KRÉTA esetében persze fontos, hogy a rendszerhez nyílt csatornán is hozzá lehessen férni, így használják a szülők és a diákok is. Azt azonban lehet menedzselni, hogy nyílt csatornán át a rendszer mely részei elérhetők. De mint azt a támában a Facebookon nyilvánosan posztoló Ferenczi Krisztián írja, a projektvezetőnek nem ehhez a nyilvánosan is elérhető felülethez kéne hozzáférnie. De még a zárt rendszeren belül is menedzselhető a hozzáférés, és menedzselni is szokás. A projektvezetőnek például a projekt menedzseléséhez egyáltalán nem szükséges hozzáférnie magához az adatbázishoz.

Ferenczi szerint ráadásul az már a projektvezető kompetenciáját is megkérdőjelezi, hogy egyáltalán bedőlt egy legegyszerűbb adathalás trükknek. Ferenczi maga is egy kifejezetten érzékeny adatokkal dolgozó cégnél dolgozik, posztja szerint az ő projektvezetőik mind ismerik azt az adathalász trükköt, amivel a hekkerek hozzáfértek az eKRÉTA rendszeréhez, tehát rögtön felismerik, ha ilyennel próbálkoznának náluk. "Ez olyan súlyos inkompetencia, mintha a kocsidban hagynád a kocsikulcsot nyitott ajtókkal, és arra építenél, hogy hátha nem veszik észre" - jellemezte posztjában a helyzetet.

Vagyis Ferenczi és a neve elhallgatását kérő fejlesztési vezető szerint pár nagyon egyszerű, ilyen adatbázisokat kezelő cégeknél alapvető biztonsági intézkedéssel - a hozzáférési jogosultság menedzselésével, az adatbázis nyílt csatornán történő elérésének korlátozásával és VPN használatával már javarészt megelőzhető lett volna a baj.

Az a baj, amit a Telex értesülései alapján aztán az eKRÉTA igyekezett eltusolni, ez pedig már a büntetőjogi felelősség kérdését is felveti. "Nemhogy egy ilyen léptékű, de bármilyen apró adatvédelmi incidenst 72 órán belül kötelező lenne jelenteni a Nemzeti Adatvédelmi Hivatalnak" - mondta erről a fejlesztési vezető. De, mint arra már utaltunk, a Telex cikkének megjelenésekor nem volt jele annak, hogy a cégtől bárki a hatóságokhoz fordult volna. Ellenben azóta a hekkerek még azt a levelet is megszerezték a cég rendszeréből, amit a Telex újságírója a Belügyminisztériumnak küldött, megerősítendő a KRÉTA rendszer elleni támadás hírét, és amit a minisztérium vagy a Klebelsberg Központ továbbíthatott az eKRÉTA Informatikai Zrt.-nek.