Egy 13 és egy 15 éves fiú intézett adathalász támadást a Köznevelési Regisztrációs és Tanulmányi Alaprendszer (KRÉTA) fejlesztőcégének informatikai rendszere ellen, de személyes adatokhoz nem jutottak hozzá – közölte a Készenléti Rendőrség Nemzeti Nyomozó Iroda szombaton a police.hu oldalon. Azt írták, hogy még szeptember 18-án adathalász támadás érte KRÉTA fejlesztőcégének informatikai rendszerét. Ismeretlen elkövetők megszerezték a vállalkozás egyik terméktámogatással foglalkozó alkalmazottjának felhasználóneveit és jelszavait és ezek ismeretében korlátozottan hozzáfértek a vállalat munkatársának irodai levelező rendszeréhez, használt adatbázisához, forráskód elemeket és adatokat töltöttek le.
Az elkövetők legkevesebb 20 alkalommal léptek be a fejlesztőcég rendszerébe, több munkaállomást kártékony szoftverekkel (malware) fertőztek meg. A közlemény szerint a támadás után több héttel később tett feljelentést követően a Készenléti Rendőrség Nemzeti Nyomozó Iroda Kiberbűnözés Elleni Főosztály Felderítő Osztálya információs rendszer vagy adat megsértése vétségének gyanúja miatt indított nyomozást.
A rendőrök december 13-án egy 15 éves és egy 13 éves fiatalember, egymástól légvonalban 82 kilométer távolságban található otthonában tartottak kutatást. Számítástechnikai eszközöket és adathordozókat, malware-eket foglaltak le. Az idősebb diákot gyanúsítottként hallgatták ki, az életkora miatt felelősségre nem vonható 13 éves tanuló tanúkihallgatására később kerül sor – közölték. A gyanúsított elismerte a bűncselekmény elkövetését, annak elkövetésére magyarázattal nem szolgált, szabadlábon védekezik – tették hozzá. A rendőrség szerint a fiúk összefüggésbe hozhatók számos iskolát érintő bombafenyegetéssel.
A 15 éves fiatalkorúval szemben zsarolás kísérletének megalapozott gyanúja miatt is eljárás van folyamatban: a rendelkezésre álló bizonyítékok szerint egy kártékony szoftver segítségével hozzáfért egy vele egyidős diáktársa levelező rendszeréhez, majd kilátásba helyezte kirúgatását, amennyiben nem fizet neki.
A Telex írt először a rendszer feltöréséről november 7-én, később pedig megkereste őket az egyik hekker, aki arról számolt be (bizonyítékok csatolásával), hogy a fejlesztők már jó ideje tudtak a támadásról, de azt minden igyekezetükkel próbálták eltussolni, hogy nehogy kitudódjon. Egy adatvédelmi szakértő szerint ez lehet a GDPR-korszak legnagyobb adatvédelmi incidense.
