Fala przejęć kont w e-dziennikach. Rodzice dostają fałszywe i wulgarne wiadomości, pojawiają się też próby wyłudzeń

„35 zł na wycieczkę do kina” i inne scenariusze

Niebezpiecznik opisał m.in. przypadek ze szkoły na Dolnym Śląsku w systemie VULCAN, gdzie z konta nauczycielki (przebywającej na urlopie macierzyńskim) wysłano do rodziców prośbę o wpłatę 35 zł na numer telefonu rzekomo w związku z organizowaną wycieczką. Drugi incydent dotyczył platformy Librus i miał charakter bardziej „prowokacyjny” niż nastawiony na zysk.

Dziennikarze wielu redakcji informowali o kolejnych zgłoszeniach, co sugeruje, że nie był to problem pojedynczej szkoły.

MEN: dotarły informacje o trzech incydentach, sprawę bada policja

Ministra edukacji Barbara Nowacka potwierdziła, że do resortu dotarły informacje o trzech przypadkach włamań do e-dzienników. Jednym z nagłośnionych zdarzeń był incydent w szkole w Otwocku – pojawiły się fałszywe oceny oraz wulgarne wiadomości.

To nie „włamanie na serwery”? Raczej przejęte konta użytkowników

Z dotychczasowych opisów wynika, że w wielu przypadkach nie chodziło o przełamanie zabezpieczeń całych systemów, ale o zalogowanie się na konta konkretnych nauczycieli. To ważne rozróżnienie: atakujący zdobywają login i hasło (np. z wcześniejszych wycieków lub z komputerów zainfekowanych złośliwym oprogramowaniem), a potem wykorzystują dostęp do wysyłania wiadomości lub manipulowania wpisami.

Taki scenariusz staje się szczególnie prawdopodobny, gdy hasło jest stare, powtarzane w wielu usługach albo już wcześniej „wyciekło” do sieci.

Co mówią dostawcy Librusa i VULCAN-a

Zarówno przedstawiciele VULCAN, jak i Librus wskazywali w wypowiedziach cytowanych przez Niebezpiecznik, że nie mają potwierdzeń masowych ataków polegających na automatycznym „zgadywaniu” haseł (tzw. password spraying), a incydenty dotyczą najczęściej pojedynczych kont, do których dostęp uzyskano dzięki przejętym danym uwierzytelniającym. Librus przypomina też, że system posiada rejestry zmian, co pozwala szkołom zweryfikować i odtworzyć poprawne dane, jeśli doszło do manipulacji (np. ocenami).

Co powinni zrobić rodzice i nauczyciele? Najważniejsze zasady

1) Nie płać „na prośbę z e-dziennika”, dopóki nie potwierdzisz.

Każdą nietypową prośbę o wpłatę, link, dane dziecka lub zmianę informacji potwierdź innym kanałem: telefon do szkoły/wychowawcy, wiadomość w dzienniku po zalogowaniu się do „znanego” kontaktu, rozmowa z sekretariatem.

2) Zmień hasło i włącz 2FA (uwierzytelnianie dwuskładnikowe).

Librus opisuje, jak uruchomić 2FA dla kont Synergii i dlaczego ma to znaczenie.

To samo dotyczy VULCAN – im mniej zależy od samego hasła, tym trudniej przejąć konto.

3) Jeśli jesteś nauczycielem: sprawdź swoje urządzenia.

Warto przeskanować komputer/telefon, zaktualizować system i przeglądarkę, a także unikać zapisywania haseł na współdzielonych urządzeniach.

4) Zgłaszaj incydent od razu.

Szkoła może szybko zablokować konto, wymusić reset hasła, sprawdzić logowania i przywrócić prawidłowe dane. W sprawach naruszeń należy też rozważyć zgłoszenie na policję oraz jeśli doszło do naruszenia danych działania zgodne z RODO.

Szkoły mogą „systemowo” wymusić 2FA na kontach nauczycieli (tam, gdzie to możliwe), wprowadzić politykę silnych haseł i regularnych zmian, przeszkolić pracowników z rozpoznawania phishingu i zasad bezpieczeństwa oraz ustalić prostą procedurę: „nietypowa prośba o pieniądze = zawsze potwierdzamy telefonicznie”.

Fala incydentów pokazuje jedno: nawet najlepszy system nie obroni użytkownika, jeśli dane logowania trafią w niepowołane ręce. Dlatego dziś najważniejsze są szybka reakcja, 2FA oraz zasada ograniczonego zaufania wobec wiadomości „z dziennika”, zwłaszcza gdy dotyczą pieniędzy.