A KRÉTA fejlesztőjét feltörő hekkernek fogalmazást kell írnia arról, milyen csúnya dolgot csinált

Közel másfél év után lezárult a nyomozás a KRÉTA fejlesztőjét ért hekkertámadás ügyében. A rendőrség egy gyanúsítottat talált, de mivel ő még mindig kiskorú, az ügyészség felfüggesztette az ellene folyó eljárást, és „magatartási szabályokat” írt elő neki. Ez többek között azt jelenti, hogy írásban bocsánatot kell kérnie az érintettektől, illetve fogalmazást kell írnia a történtekkel kapcsolatban, de egy kisebb összeget is ki kell fizetnie.

Egy 15 éves hekkert találtak meg

2022 novemberében írtuk meg, hogy az év szeptemberében adathalász támadás érte a közoktatás minden intézményében kötelezően használt állami adminisztrációs rendszer, a KRÉTA fejlesztőjét. A céget ma már Educational Development Informatikai Zrt.-nek hívják, de 2023 áprilisáig eKRÉTA Informatikai Zrt. volt a neve. A hekker bejutott a cég egyik munkatársának levelezésébe, és azon keresztül a KRÉTA-val kapcsolatos adatokhoz is hozzáférhetett. Később bemutattuk azt is, hogy a történteket a cég hogyan próbálta meg elkenni, amikor még azt hihették, hogy nem történt nagyobb baj.

A rendőrség is nyomozást indított az ügyben, de ennek eredményéről először szokatlan módon nem tőlük hallottunk, hanem Pintér Sándor belügyminisztertől, aki 2022 decemberében azt mondta a hekkertámadásról a más ügyben egyeztetésre hívott tanároknak: „Nem fogják elhinni, maguk még nem tudják az eredményt. Egy 13 éves és egy 15 éves gyerek törte föl.”

Másnap a rendőrség is kiadott egy közleményt ennek megerősítésére, a hekkerek azonban a közlemény több állítását is cáfolták. A 15 éves gyanúsítottról azt írták, csak külsős ember volt, 13 éves tagjuk pedig egyáltalán nincs. Az mindenesetre világos volt, hogy a nyomozás még javában tartott. Az Országos Rendőr-főkapitányság azonban a múlt héten a kérdésünkre közölte:

az eljárást a Nemzeti Nyomozó Iroda „vádemelési javaslattal befejezte, az ügyet az illetékes ügyészségnek megküldte”.

Azt nem tudjuk, hogy pontosan mikor zárult le a nyomozás, de január végi érdeklődésünkre a rendőrség még azt válaszolta, hogy folyamatban van, tehát valamikor január és április vége között fejeződhetett be.

Kérdésünkre elárulták, hogy az ügyben a Győri Járási Ügyészség az illetékes, ezért őket is megkerestük. Az ügyészség válaszából kiderül, hogy legalább részben a rendőrség is hasonlóra juthatott végül, mint amit a hekkerek írtak, mert az akkor 13 éves gyanúsított már nem szerepel az eljárásban, csak a 15 éves. A hekkerek egyébként a Telexnek akkoriban azt mondták, négyen vannak, de az ügyben most csak egy gyanúsított szerepel.

Bocsánatkérés, fogalmazás, kártérítés

Kérdéseinkre Gál Katalin, a Győri Járási Ügyészség megbízott vezető ügyésze válaszolt. E szerint az ügy gyanúsítottja 2007-ben született, azaz az adathalász támadás idején 15 éves volt, de még most is kiskorú (vagy ahogy a büntetőjog meghatározza: fiatalkorú). Ezért vele szemben „a Győri Járási Ügyészség munkatársa mint fiatalkorúak ügyésze tavaly novemberben feltételes ügyészi felfüggesztést alkalmazott. Ez azt jelenti, hogy az eljárást két évre felfüggesztette, és elrendelte a fiatalkorú gyanúsított pártfogó felügyeletét.” Az ügy tehát hivatalosan 2025 novemberében folytatódik.

Addig is azonban az ügyész „magatartási szabályokat” is előírt a gyanúsítottal szemben. Többek között az alábbiakat:

• „levélben kérjen bocsánatot a sértettektől, amelyben térjen ki arra is, a sértettek milyen védelmi intézkedéseket tehetnek az online térben elkövetett csalásokkal kapcsolatban”;
• „meg kell térítenie továbbá az elkövetőnek az általa okozott kárt”; és
• „fogalmazást kell írnia a közveszéllyel fenyegetésnek az állami szervekre rótt terheiről”.

Külön rákérdeztünk arra, hogy a gyakorlatban mit jelent a kétéves felfüggesztés: a lejárta után az eljárás folytatódik majd, és már nagykorúként további büntetést is kaphat az elkövető; vagy az előírások teljesítése esetén más következmény már nem várható?

„A két év felfüggesztés leteltét követően az eljárás megszüntetése várható, ha a terhelt a magatartási szabályokat teljesíti”

– válaszolta erre Gál Katalin.

Érdeklődtünk arról is, milyen nagyságrendű kárt kell megtérítenie az elkövetőnek. Mint kiderült, itt mindössze tízezer forintról van szó, mert a hekker ekkora kárt okozott „információs rendszer felhasználásával elkövetett csalás bűntette megvalósításával” – ez magyarul azt jelenti, hogy miután lopott adatokkal bejutott a meghekkelt áldozat egyik fiókjába, onnan ekkora összeget utalt át magának, ezt kell most visszafizetnie.

„A határozat véglegessé vált, a pártfogó felügyelet végrehajtása elkezdődött” – tette hozzá a Győri Járási Ügyészség megbízott vezető ügyésze.

Jókora adatvédelmi bírság a meghekkelt cégnek

A KRÉTA-ügyben nemcsak a rendőrség vizsgálódott, hanem a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is. Februárban derült ki, hogy az ő vizsgálatuk már tavaly decemberben lezárult, és ennek eredményeként jelentős adatvédelmi bírság, 110 millió forint megfizetésére kötelezik a fejlesztőcéget.

A NAIH szerint a cég két szempontból is törvényt sértett. Egyrészt nem gondoskodott kellőképpen a rá bízott személyes adatok védelméről. Másrészt amikor ezek az adatok veszélybe kerültek, az incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak. A hatóság megállapította, hogy több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek, de a fejlesztőcég nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával.

A hatóság határozata lesújtó képet festett a fejlesztőcég biztonsági gyakorlatáról: megállapították, hogy a cégnél eleve nem alkalmaztak alapvető és elvárható technológiai megoldásokat, majd megtörténte után az incidenst nem kielégítő módon kezelték, és a sorozatos mulasztások vezettek az ügy eszkalálódásához. Minderről itt írtunk részletesen. A fejlesztőcég bíróságon támadta meg a határozatot.

A KRÉTA-val kapcsolatos adatvédelmi problémák azóta is többször felbukkantak a hírekben. Legutóbb április elején, amikor arról írtunk, hogy a fejlesztőcég több iskolát értesített: KRÉTA-s felhasználónevek és jelszavak lehetnek elérhetők a lopott adatok terjesztésére előszeretettel használt dark weben, ezért jelszóváltoztatásra kérik a szülőket.