Megpróbálta a KRÉTA feltörését elhallgatni a fejlesztője
A hekkertámadás következtében nem csak a diákok és tanárok adatai szivárogtak ki, hanem olyan minősítettt adatok is, mint például a diákok fogyatékosságai, magatartászavarai, felmentések, igazolások, egészségügyi adatok; pedagógusok és más alkalmazottak HR-adatai, vagy az intézmények költségvetése, gazdálkodása; intézmények iktatott dokumentumai.
„Helló, eKRÉTA! Sajnálatos módon a »profi« rendszereiteket sikeresen feltörtük, rengeteg adatot megszereztünk, köztük: forráskódok, adatbázisok, és még sorolhatnám! […] Mellesleg köszönjük a nagyon fontos, informatív Slack-beszélgetéseket, az újságíróknak biztos tetszeni fog, hogy a rendőröknek hamisítotok, stb” – ez az üzenet a KRÉTA közoktatási adminisztrációs rendszert fejlesztő cég, az eKRÉTA Zrt. egy belső kommunikációs felületén köszöntötte a dolgozókat, miután a céget adathalász támadás érte – írja a Telex.
A belső levelezésből egyértelmű, hogy a cég tagadna
Ahogyan arról mi is beszámoltunk, néhány héttel ezelőtt adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t. A támadók hozzáférést szereztek a rendszereikhez, többek között a KRÉTA által kezelt adatokhoz, illetve a fejlesztői adatbázisokhoz és kódokhoz is. A Telexxel felvette a kapcsolatot a támadásban részt vevő egyik hekker, hogy további részleteket áruljon el.
A Telex megkereste a KRÉTA korábbi fejlesztési vezetőjét, Kovács Gábort, akinek a konkrét esetről nincs tudomása, magát a rendszer felépítését és a fejlesztési folyamatot viszont ismeri. Többek között azt kérdezték tőle, hogy mi mindenhez férhetnek hozzá az illetéktelen behatolók, ha egy ilyen adathalász támadásban valóban megszereznek egy projektvezetői jelszót. „Sajnos nagyon sok mindenhez. A KRÉTA a diákok és a tanárok szinte minden adatát tartalmazza valamilyen moduljában, a tajszámok és más személyes adatok vagy a jegyek, intők a triviális kategória” – mondta Kovács Gábor, aki szerint ennél érzékenyebb adatok is elérhetők lehetnek ilyen módon. „Hogy mást ne említsek, ilyen adatok: a diákok fogyatékosságai, magatartászavarai, amelyek minősített adatok; felmentések, igazolások, egészségügyi adatok; pedagógusok és más alkalmazottak HR-adatai; intézmények költségvetése, gazdálkodása; intézmények iktatott dokumentumai.”
A hekker bemásolta a Telexnek azt az emailt, amelyet ők küldtek az első cikkük előtt a Belügyminisztériumnak, hogy erősítsék meg az állami közoktatásban használt rendszer elleni támadást. A levelet a Belügyminisztérium továbbíthatta a cégnek, így fértek hozzá a hekkerek is.
A belső kommunikációról a Telexhez eljutott képek és szövegrészletek szerint az illetékesek sokat tanakodhattak arról, hogyan kezeljék a történteket. Egy projektvezetők közötti csetüzenetfolyam tanúsága szerint egyiküknek – a gyanús linkre kattintó, tehát a meghekkelt projektvezetőnek – feltűnt, hogy valaki olyan adminisztrátori hozzáféréssel végzett el egy változtatást, amelyhez vele együtt csak négyen ismerik a jelszót, és mivel négyük közül egyikük sem csinált ilyet, nem értették, mi történhetett. „De legalább csak jelszót módosított, mást nem, de akkor sem értem, és akkor is gáz, hogy mit mondjunk a rendőrségnek” – írta.
Egy másik üzenetben az adathalászat áldozatául esett projektvezető ezt írta valamivel később, szeptember végén: „A csütörtöki megbeszélésünk után maradt bennem rossz érzés, hogy megfelelően járunk-e el. Az egy fontos megállapítás volt részedről, hogy vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség. Azt szeretném, hogy tudd, hogy én tényleg nem tudok hazudni, de nem is szeretnék.”
Az adminisztrátori jogokkal bíró fiókról, amelynél felfedezték, hogy valaki hozzáférhetett, ezt írta: „[…] be lehet vállalni, hogy volt ilyen technikai felhasználónk, de az incidens után azonnal megszüntettük, ami teljesen igaz is. (Szeptember 18-án, vasárnap derült fény erre, azonnal jelszót változtattam, majd másnap töröltem az összes felhasználóbelépést – töröltre állítottam.) […] Ha ezt tagadnánk, neki meg lenne erre bizonyítéka (kép, videó, a tőlem letöltött belépési adatok, bármi), akkor kerülnénk abba a helyzetbe, amit mindenképpen el kellene kerülni.”
Ennek az utolsó levélnek a teljes szövegét, néhány képpel együtt, a hekkerek már közzétették hétfő este, azon a Telegram-csatornán, ahol a nekünk nyilatkozó társuk szerint további adatok publikálását tervezik.
A Telex rákérdezett az eKRÉTA Zrt.-nél,hogy a cég vezetése már szeptemberben tisztában volt azzal, hogy illetéktelenek férhettek hozzá a KRÉTA adataihoz; és ha igen, miért döntöttek úgy, hogy nem tesznek feljelentést, illetve nem értesítenek senkit az incidensről. Egyelőre választ még nem kaptak.
Interjú a hekkerrel
A sawarim néven jelentkező hekker a Telexnek elmondta, hogy nemzetközileg kb. 110, Magyarországon 4 fővel dolgoznak, van köztünk kiskorú is. Magyarországon csak ezzel a projekttel foglalkoznak. A céljuk az, hogy minden ember globálisan tudjon normális életet élni, ne legyenek elnyomva a kormány által, és hogy a politika csak arról szól, hogy a top 1 százaléknak legyen jó, az alsó réteg pedig belehal, és ezeket mi digitális támadásokkal próbáljuk meg megoldani. Bár a célok hasonlóak, sawarim szerint ők nem az Anonymus csoporthoz tartoznak. Amit tesznek, azt „támadásos jellegű tiltakozásnak" nevezik. Az eKRÉTA feltörésével az volt a céljuk, hogy bemutassák, mennyire hanyagok és fejletlenek a magyar rendszerek. Azt is megfogalmazta a hekker, az volt a terv, hogy
akkor nem teszik ki az adatokat, ha a tanárok bérét megnövelik.
Ezt a célt végül nem valósították meg, mert zsarolni nem akartak. Belépési adatokat nem raknak ki, maximum forráskódokat, képeket, bizonyítékokat a hamisításokról, stb. Nem terveztek személyes adatokat kitenni. Amit viszont közzé fognak tenni, azt állításuk szerint a napokban publikálják majd az erre létrehozott Telegram-csatornára, ahová néhány dolgot már hétfő este kiraktak.
Rendszerfeltörési knowhow
A hekkert arról is kérdezte a Telex, hogyan sikerült bejutniuk az eKRÉTA rendszereibe. Sawarim szerint egy általuk írt kártevő programot, egy úgynevezett RAT-ot (remote access trojan, azaz távoli hozzáférést lehetővé tevő trójai program) sikerült bejuttatniuk, méghozzá úgy, hogy az a cég minden vírusirtóján és védelmi szoftverén észrevétlenül átjutott. Ez a kártevőtípus épp arra jó, amire a neve utal: települ a megfertőzött rendszeren, és ezzel bejuttatja a támadókat is: távoli hozzáférést tesz lehetővé, ami jelentheti a rendszer távoli megfigyelését, de akár parancsok futtatását vagy adatok kinyerését is.
A trójait a KRÉTA üzenetküldő rendszerén keresztül terjesztették: kiválasztottak minden adminisztrátort, és egy megtévesztő adathalász (phishing) emailben, magukat másnak kiadva átküldték a kártevő letöltéséhez szükséges linket, olyasminek álcázva, ami felkeltheti a célba vett adminisztrátorok érdeklődését – mint azóta látjuk, egyikőjükét valóban fel is keltette. Az egyik projektvezető még azelőtt kattintott, hogy a cégen belül jelezték volna a dolgozóknak, hogy adathalász levelekről van szó, és ezzel sikerült megszerezniük a jelszavát, amellyel már mindenhez hozzá tudtak férni. „Nem volt kétlépcsős azonosítás, és egy rendszeren fut az egész, tehát ha van a owa.rufusz.hu-hoz hozzáférésed, akkor mindenhez is” – mondta a hekker. (A Rufusz Computer Informatika Zrt. annak a Fauszt Zoltánnak az egyik cége, akinek az érdekkörébe az eKRÉTA Zrt. is tartozik.)
Szeptember közepén még nem volt hozzáférésük a rendszerekhez, akkor még csak abba a már említett technikai adminisztrátori fiókba jutottak be, amely minden iskolában működött, de már ezzel is bármelyik tanulónak meg tudták nézni a lakcímét és más adatait. „Később jöttünk rá, hogy valójában van hozzáférésünk mindenhez: emailek, forráskódok stb.” A hekker állítása szerint végül tömörítve 238 GB adatot hoztak el a cégtől. A személyes adataikkal érintettek pontos számát nem tudják, de több tízezerről lehet szó.
Az eddigiekből már ki lehet találni, de a hekker meg is erősítette, hogy bár a cég belső kommunikációja alapján az eKRÉTA-nál azt gondolhatták, hogy a támadást végül elhárították, a támadók valójában még most is bent vannak a rendszereikben.
„Jelenleg szeptember óta vagyunk bent, mivel amikor jelszót váltottak, mi még benne voltunk a projektvezető emailjében, nem a KRÉTA-sban, hanem a gmailesben.”
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) és a rendőrség vizsgálatot indított az ügyben.
(Kiemelt képünk illusztráció: A Köznevelési Regisztrációs és Tanulmányi Alaprendszer (KRÉTA) bejelentkezési oldala egy táblagépen. MTI/Varga György)