Nem lehetnek büszkék.
Valamikor szeptember 20. tájékán adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer (KRÉTA) fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t.
Az adathalász támadás áldozata a cég egyik projektvezetője volt, ő kattintott az átverős email linkjére, amivel a támadók megszerezték a belépési adatait, melyekkel aztán hozzáférhettek a belső adatbázisokhoz. Olyan adatbázisokhoz, amelyekben a magyar közoktatásban dolgozók, tanulók, valamint még a tanulók szüleinek személyes, érzékeny adataihoz is hozzáférhettek.
Erről a rendkívüli, több százezer ember adatait érintő súlyos adatbiztonsági incidensről a Telex november 7-én megjelent cikkéből értesülhetett csak a közvélemény, de mint később kiderült,
a hatóságok se tudhattak róla
korábban.
Nem véletlenül, az eKRÉTA Informatikai Zrt. igyekezett elhallgatni a problémát. A hekkerek a cég belső levelezéséhez is hozzáfértek, így ahhoz a levélhez is, amelyben a adathalászat áldozatául esett projektvezető azt írja egy munkatársának:
„Az egy fontos megállapítás volt a részedről, hogy vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség”.
A hekkerek azóta nyilvánosságra hozták a KRÉTA rendszer forráskódját is, arról, valamint az eset egyébb részleteiről is élénk párbeszéd kezdődött magyar fejlesztói körökben, részben nyilvános felületeken is.
És bár a rendszer forráskódja is súlyos adatbiztonsági hiányosságokat tárt fel: az adatbázis SQL injection, vagyis az adatbázist tönkretevő kódok bejuttatási elleni védelme olyan, mintha egy
elsőéves egyetemista
írta volna.
Az adatbázis nem megfelelő védelme már alapvetően nagyon súlyos probléma. De ahhoz, hogy a hekkerek egyáltalán idáig jussanak a rendszerben, már súlyos hiányosságok sora vezetett.
Érzékeny adatokkal foglalkozó cégeknél alapvető biztonsági intézkedés, hogy a cég privát hálózatához csak VPN-nel lehet csatlakozni, és még ahhoz is kétfaktoros hitelesítésre van szükség. Ez több szempontból is védelmet jelent, egyrészt a VPN-csatlakozáshoz nem kell külső hivatkozásra kattintani, vagyis a belépési adatokat egyszerű adathalász trükkel nem lehet megszerezni. Másrészt, a kétfaktoros hitelesítés miatt a felhasználó azonnal értesül arról, ha valaki a jelszavával megpróbál hozzáférni a rendszerhez.
(via 444.hu)