W ostatnich dniach rodzice posiadający konta w dziennikach Librus i Vulcan, otrzymali od nauczycieli różnego rodzaju szokujące, kłamliwe, a niekiedy nawet sprośne wiadomości. Próbowano ich też okraść. Oczywiście, za tymi działaniami nie stali nauczyciele. Ktoś przejął ich konta…
My ze swoich źródeł wiemy o dwóch takich incydentach. Jeden dotyczył systemu Vulcan w szkole na Dolnym Śląsku, gdzie z konta nauczycielki, która jest na urlopie macierzyńskim, ktoś nagle wysłał prośbę o wpłatę “35 zł na podany numer telefonu” bo organizowana jest wycieczka do kina.
Drugi z przypadków nie nadaje się do cytowania, ale dotyczył konkurencyjnej platformy Librus. Zachowanie tego atakującego pokazało małe wyrafinowanie i raczej brak dobrych pomysłów na spieniężenie dostępu do konta nauczyciela.
Od wczoraj w atakach na dzienniki szkolne kontaktują się z nami dziennikarze. Marcin udzielił wypowiedzi telewizji Polsat, a Piotra będziecie mogli posłuchać w wiadomościach TVP. Dziennikarze z którymi rozmawialiśmy posiadali informacje o kolejnych incydentach tego typu — wszystko więc wskazuje na szerzej zakrojoną akcję. Nie chodzi o jedną szkołę. Nie chodzi o jeden system elektronicznych dzienników. Ministra edukacji Barbara Nowacka w wypowiedzi dla Radia Zet przyznała, że do MEN dotarły informacje o trzech incydentach, ale naszym zdaniem po prostu nie wszystkie zostały (jeszcze) do ministerstwa zgłoszone.
To wina nauczycieli, niekoniecznie platformy
Wszystkie przypadki, o których słyszeliśmy do momentu opublikowania tego tekstu opierały się na zalogowaniu na konto użytkownika (nauczyciela). Nie mamy więc żadnych informacji o “włamaniu na serwery tego czy innego e-dziennika”, ale informacje o zalogowaniu się na konta określonych osób.
W tym miejscu przypomnimy, że w internecie regularnie publikowane są haseła wykradzioneh przez tzw. stealery. W tych bazach znajdują się dane dostępowe do kont nauczycieli do obu popularnych w Polsce platform e-dzenników. Jedną z takich publikacji opisaliśmy jako “wyciek, którego nie było” — nie było go w tym sensie, że nie był to wyciek z poszczególnych serwisów, a z kradzież danych z zainfekowanych złośliwym oprogramowaniem komputerów samych użytkowników. Jeśli jakiś nauczyciel nie zmieniał hasła przez lata i/lub używał go w innych miejscach to prawdopodobieństwo przejęcia jego konta na Librusie lub Vulcanie rośnie.
Nie twierdzimy, że dane logowania były pozyskane akurat z tej puli haseł, ale wiele wskazuje, że zostały pozyskane właśnie ze stealer logów. Wydźwięk poszczególnych ataków jest na tyle różny w sposobie, że naszym zdaniem całość zaczęła się od pomysłu, który został opublikowany (np. na jakimś forum), a następnie był realizowany przez kilka niezależnych osób.
Co na to producenci e-dzienników
Oczywiście spytaliśmy o sprawę dostawców e-dzienników. Jako pierwsza odpowiedziała nam Katarzyna Korzeniewska z firmy Vulcan. Potwierdziła, że nie doszło do żadnego “przełamania systemów” tego dostawcy, natomiast nieuprawnione logowania na konta użytkowników po prostu się zdarzają.
Nie posiadamy potwierdzonych informacji wskazujących na skuteczne ataki z wykorzystaniem techniki tzw. password spraying wymierzone w nasze systemy. (…) Nie otrzymaliśmy zgłoszeń potwierdzających scenariusze takie jak masowe zmiany ocen, wysyłanie wiadomości zawierających przemoc czy próby wyłudzeń realizowane w wyniku przełamania zabezpieczeń systemowych. Zgłoszenia, które sporadycznie do nas trafiają, dotyczą pojedynczych kont użytkowników i w większości przypadków są efektem nieuprawnionego dostępu wynikającego z naruszenia bezpieczeństwa danych uwierzytelniających po stronie użytkownika (np. ujawnienia hasła osobom trzecim).
Wciąż czekamy na odpowiedź od Librusa i kiedy ją otrzymamy, zaktalizujemy ten artykuł.
Jestem nauczycielem/rodzicem. Co robić? Jak żyć?
Po pierwsze, konta w e-dzienniku nie powinno być zabezpieczone prastarym hasłem, którego używamy od lat w wielu miejscach, ale przede wszystkim włączcie sobie logowanie dwuskładnikowe (2FA).
- W systemie Librus należy przejść do Ustawienia – Konfiguracja (parametry konta), następnie Konfiguruj. Teraz trzeba potwierdzić swoją tożsamość poprzez ponowne zalogowanie się na konto Synergii. Szczegóły na stronie Pomocy Librus. Warto wiedzieć, że dodatkowe potwierdzenie tożsamości za pomocą drugiego składnika nie będzie wymagane, jeżeli podczas logowania na danym urządzeniu używana przeglądarka internetowa została dodana jako zaufana. Jeśli z tego komputera korzystają dzieci (albo inne cybernicponie, to lepiej jej nie zapamiętywać).
- W systemie Vulcan jest jeszcze bezpieczniej. Dostępne jest logowanie za pomocą klucza. Tę rolę może pełnić komputer lub laptop z systemem Windows 11, macOS Ventura lub ChromeOS, telefon komórkowy z systemem Android 9/iOS16 lub nowszym albo klucz bezpieczeństwa lub karta inteligentna obsługujące protokół FIDO2 (np. YubiKey 5 Series). Szczegóły na stronie eduVulcan.
Niezależnie od używanej metody logowania powinniśmy pamiętać, że konta innych osób w systemie zarówno e-dziennika jak i innych “grup rodzicielskich” w innych serwisach mogą być przejęte. Dlatego wszelkie prośby o wpłaty lub np. przesłanie/udostępnienie danych powinny być potwierdzone innym kanałem zanim zdecydujemy się zadziałać tak, jak zasugerowano w otrzymanej przez e-dziennik wiadomości. W razie wątpliwości pamiętajmy, że telefoniczna droga kontaktu ze szkołą ciągle istnieje.
Jak ochronić dziecko przed internetowym złem?
Chcesz dowiedzieć się jak uchronić swoje dziecko przed internetowym złem? Rzuć okiem na nasz wideo-poradnik dla rodziców. Dowiesz się z niego jak poprawnie ograniczyć dziecku dostęp do niechcianych treści (nie tylko 18+) i aplikacji, ale również jak skutecznie ograniczyć czas, jaki dziecko spędza przed ekranami (nie tylko smartfona i komputera). Plus jeszcze pare innych przydatnych i obowiązkowych dla rodziców porad. Z kodem DZIENNIK dostęp uzyskasz z 20% rabatem. Kod działa tylko do końca dnia, ale bez obaw dostęp otrzymujesz na miesiąc więc na pewno zdażysz się zapoznać z poradnikiem. Tutaj link bezpośrednio do koszyka.
