Dobavljač rešenja za bezbednost učenika i dobrobit učenika u školama od K do 12, koji upravlja platformom za prijave, navodno je pogođen značajnim sajber-napadom. Proboj bi mogao da otkrije lične podatke učenika koji pohađaju više od 30.000 škola u Sjedinjenim Američkim Državama.
Prema Reutersu, haker je tvrdio da je pristupio sistemima koje vodi Navigate360, konkretno liniji za prijave P3 Global Intel. Rane procene ukazuju da su hakerove tvrdnje legitimne, iako EdWeek nije mogao nezavisno da ih potvrdi.
Međutim, stručnjaci za bezbednost podataka kažu da škole ne bi trebalo da čekaju potvrdu hakovanja da bi preduzele mere.
Potpuni obim proboja—kao i broj škola, učenika i zaposlenih koje je to možda zahvatilo—nije jasan. Navigate360 je saopštio da i dalje pokušava da utvrdi da li su njihovi sistemi kompromitovani.
“Trenutno radimo na tome da utvrdimo da li smo doživeli incident koji uključuje našu računarsku mrežu i, ako jeste, obim incidenata i informacije koje su u pitanju,” rekao je JP Guilbault, izvršni direktor Navigate360, u saopštenju.
“Nismo potvrdili da su bilo koje osetljive informacije pristupačene ili zloupotrebljene,” dodao je Guilbault. Kompanija je saopštila da je angažovala nezavisnu treću stranu da istraži incident.
Međutim, Doug Levin, stručnjak za sajber bezbednost u školama i nacionalni direktor K12 Security Information Exchange, rekao je da postoji dovoljno informacija „koje sugerišu da bi to moglo biti legitimno i da bismo to trebali shvatiti ozbiljno.“
Nije bilo izveštaja o otkupu u vezi sa procurelim dokumentima, pa ovo deluje kao „klasičan hacktivizam“, koji sprovode ljudi koji otkrivaju aktivnosti jer se ne slažu sa onim što vlada ili organizacija radi, rekao je Levin.
U ovom slučaju, kako je rekao, činjenica da je haker pristupio medijima i podelio podatke sa neprofitnom veb-stranicom posvećenom zviždačima uklapa se u način na koji hacktivisti obično rade.
Iako je obim proboja nejasan, stručnjaci kažu da su podaci prikupljeni putem poverljivih platformi za prijave—koje su obično namenjene davanju školama i policiji unaprednih informacija kako bi se sprečio kriminal i unapredila bezbednost u školi—veoma osetljivi i kompromitovanje tih podataka moglo bi da potkopi napore za bezbednost škola.
Jedan od glavnih načina na koji školski administratori saznaju za učenike koji planiraju da nanesu štetu sebi ili drugima jeste kada vršnjaci lično ili anonimno kontaktiraju školsko osoblje, rekao je Kenneth Trump, stručnjak za bezbednost u školama i predsednik National School Safety and Security Services.
„Školski administratori marljivo rade na stvaranju tog poverenja da bi učenici progovorili, a deca neće verovati anonimgnim prijavama ako sistem zapravo nije anoniman,“ rekao je.
Rojters navodi da je haker, koji koristi nadimak Internet Yiff Machine, u saopštenju rekao da su hakovali i podelili podatke kako bi otkrili da su poverljive prijave koje ljudi šalju putem Navigate360-ove P3 Global Intel platforme ni bezbedne ni anonimate.
Rojters je naveo sajt Straight Arrow News, koji je osnovao američki biznismen Joe Ricketts, kao prvi koji je prijavio proboj. Podaci iz proboja navodno su takođe podeljeni sa veb-istrajno-website-om Distributed Denial of Secrets.
Škole nisu jedine organizacije koje koriste P3 aplikaciju za prijave—i policijske službe, programi za prevenciju zločina i savezna tela koriste je, prema zvaničnom sajtu kompanije.
Podaci prikupljeni putem anonimnih prijava su veoma osetljivi
Vrsta podataka prikupljenih putem anonimnih prijava veoma je osetljiva i ako budu izloženi, mogli bi naškoditi i izveštavačima i subjektima prijava, rekao je David Riedman, osnivač K-12 School Shooting Database i profesor bezbednosti i upravljanja rizikom na Idaho State University.
„Ovo je aplikacija koja se prodaje da identifikuje učenike koji razmišljaju o samopovređivanju, zlostavljanju, zloupotrebi supstanci ili pretnjama nasilja,“ rekao je. „To je najosetljivija informacija koja bi mogla biti dostupna o detetu.“
Sa druge strane, svako ko je smatrao da podnosi anonimnu prijavu mogao bi biti meta ako bi te informacije postale javne, dodao je Riedman.
„Potencijalno izlažete sebe nasilju, a istovremeno izlažete sebe i mogućoj budućoj odgovornosti, jer je bilo mnogo tužbi porodica učenika koji su bili uključeni u proces procene pretnji,“ rekao je.
Oboje, Riedman i Trump, naglašavaju da je ključno da škole urade svoj zagrljaj dužne pažnje i osiguraju privatnost i bezbednost podataka učenika kao prioritet prilikom odabira provajdera i sklapanja ugovora.
Levin preporučuje školskim distriktima da privremeno obustave korišćenje platforme dok traju istrage i da kontaktiraju Navigate360 kako bi zahtevali ažuriranja o incidenetu i tome da li su informacije o njihovoj školskoj zajednici kompromitovane.
Navigate360 nudi razne usluge školama od kurikuluma za vaspitavanje karaktera do sistema za upravljanje posetiocima. Prema njihovom sajtu, 30.000 škola koristi njihovu poverljivu aplikaciju za anonimne prijave P3 Global Intel.
Incident dolazi nakon hakovanja drugih kompanija koje sarađuju sa školama
Proboj podataka bi dodat Navigate360 na listu K-12 ed-tech kompanija čije ranjivosti ugrožavaju osetljive informacije koje distrikti čuvaju o učenicima. Najnovije, cyber-napad na PowerSchool otkrio je lične podatke miliona učenika, roditelja i zaposlenih i doveo je do brojnih tužbi protiv te ed-tech kompanije.
Godine 2023, još jedna kompanija za softver za bezbednost škola, Raptor Technologies, bila je predmet curenja podataka koje su otkrile milione školski zapisa, uključujući planove evakuacije, procedure za zaključavanje i informacije o učenicima kod kojih su identifikovane pretnje na kampusu.
Jedan bezbednosni istraživač otkrio je fajlove u nezaštićenim bazama podataka i prijavio ih Raptor Technologies, a kompanija je brzo učinila fajlove nedostupnim, javio je WIRED magazin.
Školski distrikti su glavni cilj hakera i posebno su ranjivi na sajber-napade. Distrikti pristupaju hiljadama alata iz oblasti ed-tech tokom školske godine i oslanjaju se na svoje provajdere da skladište i upravljaju velikim brojem osetljivih informacija.
