Februárban mi is hírt adtunk róla, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 110 millió forintos bírságot szabott ki a KRÉTA rendszert üzemeltető Educational Development Informatikai Zrt.-re (korábban eKréta Zrt.), miután úgy találta, hogy a cég hanyagsága vezetett a 1,5 millió magyar diák és 1,87 millió gondviselő adatait kezelő online oktatási platform tavalyi feltöréséhez. Ugyan azóta csak két hónap telt el, a KRÉTA felhasználóinak adatai most ismét rossz kezekbe kerültek, ami miatt újfent vizsgálatot indított a NAIH.
A Pedagógusok Demokratikus Szakszervezete (PDSZ) a napokban egy szülői bejelentés nyomán számolt be róla, hogy az egyik oktatási intézmény diákjainak adatai felkerülhettek a sötét webre, amivel párhuzamosan több, elsősorban szakképző intézményekben oktató tanár is jelezte, hogy a jelszavuk megváltoztatására és a kétfaktoros azonosítás beállítására vonatkozó rendszergazdai üzeneteket kaptak.
Az értesülést követően a PDSZ a Kulturális és Információs Minisztériumnál érdeklődött a történtek hátteréről, amelyre válaszul a szakképzésért felelős helyettes államtitkár, Pölöskei Gáborné közölte, hogy több szakképző intézményben is a KRÉTÁ-hoz kapcsolódó felhasználói nevek és jelszavak szivárogtak ki a darkwebre. Ez tanulókat, alkalmazottakat és gondviselőket is érint, a szivárgás tényét pedig az üzemeltető Educational Development Informatikai Zrt. és a Nemzeti Kibervédelmi Intézet különálló vizsgálatai is megerősítették.
Pölöskeiné levele alapján a vizsgálatok arra jutottak, hogy az adatok nem külső támadás nyomán kerültek rossz kezekbe, arra viszont már nem tért ki a helyettes államtitkár, hogy akkor mi állhat a háttérben, és hogy ez miért csak a PDSZ közbenjárását követően vált nyilvánossá. A Népszava később többek között a NAIH-nál is érdeklődött az ügy kapcsán, melyre válaszul Péterfalvi Attila elnök tudatta, hogy a hatóság számos szakképzési centrumtól kapott szinte azonos tartalommal adatvédelmi incidensbejelentést, ezért ellenőrzést indított az üzemeltető Educational Development Zrt.-vel szemben. A lap a céget és a Kulturális és Információs Minisztériumot is felkereste, ám cikkünk írásáig nem kapott válaszokat.
Egyelőre tehát sok a kérdés az aktuális incidens körül, miközben a felhasználói nevek és jelszavak kiszivárgása jelentős adatvédelmi kockázatot jelent, hiszen a KRÉTA olyan érzékeny információkat tárol, mint például a lakcím, a TAJ-szám vagy az ösztöndíjak fogadására megadott bankszámlaszámok.
