Lopott KRÉTA-jelszavak szivárogtak ki, a Telex értesülése szerint a szülőknek figyelmeztetést küldtek a közoktatási rendszeren keresztül. A rendelkezésre álló információk alapján az alábbi üzenetet kapták meg több iskola felhasználói: „Tisztelt Felhasználó! Tájékoztatjuk, hogy (...) felhasználói jelszava adatvédelmi incidensben lehet érintett (...), illetéktelenek megpróbálhatnak a nevében belépni a KRÉTA fiókjába”.
A levélben a KRÉTA fejlesztője, az Educational Development Informatikai Zrt. arról értesítette az érintett iskolákat, hogy a Nemzeti Kibervédelmi Intézet vizsgálata szerint KRÉTA-s felhasználónevek és jelszavak kerülhettek ki a lopott adatok terjesztésére használt darkwebre. Ezen adatok felhasználásával illetéktelenek próbálhatnak meg belépni az érintett felhasználók fiókjába. A jelzés nem azt jelenti, hogy feltörték a fiókot, hanem azt, hogy máshonnan megszerzett belépési adatokat használva megpróbálhatnak belépni a nevükben. Aki így járt, annak mielőbbi jelszócserét, a kétfaktoros hitelesítés bekapcsolását javasolják, valamint az érzékeny fiókadatok, például a megadott bankszámlaszám ellenőrzését.
Nem ez az első kellemetlenség, amit a KRÉTA felhasználói megtapasztalhattak az elmúlt években: 2022 szeptemberében hekkertámadás érte a fejlesztőt, amely az adatvédelmi hatóság vizsgálata nyomán 110 milliós bírságot kapott.