Még 2022 szeptemberében törték fel hekkerek a minden közoktatási intézményben kötelezően használandó KRÉTA adminisztrációs rendszert. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) most megállapította, hogy több mint húszezer ember adatai biztosan illetéktelenek kezébe kerültek.
A Szabad Európa is beszámolt 2022 novemberében a Telex cikke nyomán arról, hogy két hónappal korábban feltörték a KRÉTA közoktatási adminisztrációs rendszert, így tanulók és tanárok érzékeny adataihoz férhettek hozzá az egészségügyiektől a bankszámlaadatokig. A támadás csak két hónappal később, a hírportál cikke nyomán került nyilvánosságra.
Az adatvédelmi hatóság vizsgálata tavaly decemberben zárult le, a határozat most eljutott a Telexhez. Ebből az derül ki, hogy a NAIH 110 millió forint megfizetésére kötelezi a fejlesztőcéget a súlyos incidens miatt. A hírportál megjegyzi, hogy ez az elmúlt évek egyik legjelentősebb összegű bírsága.
A cég, amely 2023 áprilisáig eKRÉTA Informatikai Zrt. néven működött, de ma már Educational Development Informatikai Zrt. néven tevékenykedik, többszörösen törvényt sértett. Nem biztosított kellő védelmet a rábízott személyes adatoknak, és amikor az adatok veszélybe kerültek, nem jelentette be „indokolatlan késedelem nélkül” az incidenst az adatkezelőknek, azaz az érintett iskoláknak.
Mint arról korábban írtunk, a KRÉTA a diákok és a tanárok részletes adatai mellett egészségügyi adatokat, magatartászavarokat, igazolásokat, pénzügyi adatokat, más cégek adatait és még egy sereg más típusú információt tartalmaz. A támadók pedig mindenhez hozzáférhettek azután, hogy az egyik technikai projektvezető fertőzött linkre kattintott.
A NAIH vizsgálata megállapítja, hogy több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek, de a fejlesztőcég nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójának adataival.
