A felhasználónevek és a jelszavak is kikerülhettek a dark webre.
A Telex számolt be arról, hogy a KRÉTA fejlesztője, az Educational Development Informatikai Zrt. arról értesítette a szülőket, hogy a Nemzeti Kibervédelmi Intézet vizsgálata szerint KRÉTA-s felhasználónevek és jelszavak lehetnek elérhetőek a dark weben. Az érintett iskolákban a következő üzenetet küldték a felhasználóknak:
„Tisztelt Felhasználó! Tájékoztatjuk, hogy […] felhasználói jelszava adatvédelmi incidensben lehet érintett […], illetéktelenek megpróbálhatnak nevében belépni a KRÉTA fiókjába.”
A fejlesztők azt javasolják a szülőknek, hogy mihamarabb változtassák meg a jelszót, valamint ellenőrizzék a megadott bankszámlaszámot, és a biztonságosabb bejelentkezés érdekében állítsák be a kétfaktoros hitelesítést is.
A rendszerüzenetben hangsúlyozták, nem a KRÉTA-t hekkelték meg, hanem a felhasználóit. Ennek kapcsán kiemelték, ez nem azt jelenti, hogy feltörték a szülők fiókját, hanem hogy az elkövetők megpróbálhatnak belépni a nevében.