Jelentős, 110 millió forintos bírságot szabott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az Educational Development Informatikai Zrt-re (korábbi nevén eKRÉTA Informatikai Zrt.), amiért 2022-ben megpróbálták eltussolni, hogy súlyos hekkertámadás érte a magyar iskolások tanulmányi adatait kezelő KRÉTA nevű szoftver rendszerét. A bírságról az ügyet évek óta követő Telex számolt be.

A hatóság indoklása szerint a cég nem biztosított kellő védelmet a rá bízott személyes adatoknak, valamint amikor ezek az adatok veszélybe kerültek, az incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak. A Telex cikke szerint a NAIH megállapítja, hogy több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek, de a fejlesztőcég nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával. A vizsgálat azt is feltárta, hogy a cégnél eleve nem alkalmaztak alapvető és elvárható technológiai megoldásokat az adatbiztonság terén.

A lap, amely 2022-ben beszámolt a hekkertámadásról, akkor kapcsolatba lépett az egyik támadóval, aki arról tájékoztatta őket, hogy „sajnos nagyon sok mindenhez" hozzáfértek a rendszerben, mivel a KRÉTÁ-ban tárolják a tanárok és a diákok szinte minden személyes adatát, például a TAJ-számukat vagy akár a bankszámlaszámukat is. De más, érzékeny személyes adatokat is találtak, például a diákok fogyatékosságairól, magatartászavarairól szóló információkról, egészségügyi adataikról, vagy a tanárok HR-adatairól is.

Amikor a hekkertámadás nyilvánosságra került, kiszivárgott egy levél is. Ebben az akkor eKRÉTA ZRt-nek nevezett cég egyik projektvezetője így írt: „Vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség.” Ebből is kiderült, hogy a cég munkatársai jóval korábban tudtak a rendszerükbe történt behatolásról, ám az ügyben nem fordultak a rendőrséghez. Később kiderült, a rendőrség egy 15 éves és egy 13 éves fiút gyanúsít a KRÉTA rendszer feltörésével.