Mint arról a hét elején lapunk is beszámolt, a Telex több forrásból megerősített információi szerint még szeptemberben adathalász támadás érte a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t. Úgy tudni, a támadó a közoktatás minden intézményében kötelezően használt állami adminisztrációs rendszer szinte minden adatához hozzáférhetett, így diákok személyes adataihoz is. Ám nemcsak ezeket, a cég más adatbázisait és forráskódokat, illetve a fejlesztők belső kommunikációját is megszerezték.
A Telex cikkének megjelenése után a lappal a támadás mögött álló egyik hekker felvette a kapcsolatot, hogy további részleteket osszon meg az akcióról. A lap közlése szerint a hekker által küldött bizonyítékokból kiderül, hogy a cégen belül már akkoriban tudomást szereztek arról, hogy illetéktelen hozzáférés történt, és
egymás között arról beszéltek, hogyan lehetne elkenni a történteket. "Vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség" – írta egyikük.
A hekker a Telexnek azt írta, hogy
az akciójukkal a magyar rendszerek rossz állapotát akarták bemutatni, és a támadással tiltakoznak a problémák ellen, de személyes adatokat nem tesznek közzé, mert nem akarnak ártani a diákoknak.
Egy a lapnak nyilatkozó kiberbiztonsági szakértő szerint a nyilvánosságra került információk alapján a fejlesztőcégnél súlyos biztonsági mulasztások merülnek fel. Az adatvédelmi szakértő szerint súlyosbító körülmény lehet, hogy a cég senkinek nem szólt a történtekről.
Ez lehet a GDPR-éra legdurvább adatvédelmi incidense. Az adatvédelmi hatóság a Telex cikke után hivatalból eljárást indított az ügyben.