Ahogy lapunk is megírta, adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer (KRÉTA) fejlesztő cégét, így valamennyi diák összes, a KRÉTA-ban kezelt adata kiszivároghatott. A Telex információi szerint azonban nemcsak ezekhez, hanem a cég más adatbázisaihoz és a forráskódokhoz, illetve a fejlesztők belső kommunikációjához is hozzáférhettek. Ezt cégen belülről is megerősítették, a hírek szerint egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül.
A cikk megjelenése után a Telexet megkereste az egyik hekker, aki arról számolt be (bizonyítékok csatolásával), hogy a fejlesztők már jó ideje tudtak a támadásról, de azt minden igyekezetükkel próbálták eltussolni, hogy nehogy kitudódjon. Egy adatvédelmi szakértő szerint ez lehet a GDPR-korszak legnagyobb adatvédelmi incidense.
A hekker által ugyancsak megszerzett cégen belüli üzenetváltások szerint a fejlesztők szinte azonnal tudomást szereztek a támadásról, de azt inkább elkenni próbálták, mint értesíteni róla a hatóságokat, pláne a közvéleményt. „Vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség” – írta az egyik fejlesztő arról, hogy hogyan kezeljék a krízist.
Az egész ügy felveti a legsúlyosabb biztonsági mulasztások gyanúját, ezért is indított vizsgálatot az adatvédelmi hatóság. A hekker állítása szerint nem fog visszaélni a diákok megszerzett adataival, és a céljuk a töréssel mindössze a rendszer pocsék biztonsági mechanizmusainak demonstrálása volt. A betörők ezt írták a cég alkalmazottjainak a belső üzenőrendszeren keresztül:
„Helló, eKRÉTA! Sajnálatos módon a »profi« rendszereiteket sikeresen feltörtük, rengeteg adatot megszereztünk, köztük: forráskódok, adatbázisok, és még sorolhatnám! […] Mellesleg köszönjük a nagyon fontos, informatív Slack-beszélgetéseket, az újságíróknak biztos tetszeni fog, hogy a rendőröknek hamisítotok, stb”.
Meglepetés: a KRÉTA fejlesztői Palkovics László volt üzlettársához köthetők
Amint korábban az Átlátszó információi alapján megírtuk, a Kréta, valamint az egyetemeken korábban bevezetett Neptun oktatási rendszerek ugyanannak a cégcsoportnak a termékei. Akárcsak a Poszeidon elnevezésű elektronikus iratkezelő program, amelyet az államigazgatásban alkalmaznak. Ezeknek az informatikai rendszereknek az üzemeltetése, karbantartása és fejlesztése évi többmilliárd forintos bevételt hozhat a Fauszt Zoltánhoz köthető vállalatoknak.
Az SDA Informatika Zrt.-ről van szó, amely a fent említett rendszereket fejlesztette. Fauszt Zoltán az Informin’ Informatikai Tanácsadó és Szolgáltató Kft.-ben 14 évig volt Palkovics László jelenlegi technológiai és ipari miniszter üzlettársa, a cégből Palkovics 2014-ben szállt ki, a vállalkozás 2021-ben szűnt meg.
