Nutekinti studentų ir mokytojų duomenys: ar TAMO saugus?

Po „PowerShool“ duomenų nutekinimo milijonų studentų ir mokytojų duomenys atsidūrė pavojuje

Kibernetiniai nusikaltėliai nesirenka aukų – atakuojami įvairūs sektoriai, tarp jų ir sveikatos apsaugos, draudimo, automobilių pramonės bei netgi švietimo. Dabar įsilaužėlių taikiniu tapo vienas didžiausių švietimo technologijų tiekėjų – „PowerSchool“.

Šis JAV ir Kanadoje plačiai naudojamas studentų informacinės sistemos tiekėjas pranešė apie didelį duomenų nutekinimą, paveikusį milijonus studentų ir mokytojų^[1]. Nors tikslus nukentėjusiųjų skaičius vis dar nėra aiškus, incidento mastas kelia didelį susirūpinimą.

„PowerSchool“ aptarnauja daugiau nei 18 000 švietimo įstaigų visame pasaulyje ir valdo per 60 milijonų K-12 (pradinės ir vidurinės mokyklos) mokinių bei mokytojų duomenis, įskaitant pažymius, lankomumą ir asmeninius duomenis. Dėl šios priežasties organizacija tapo patraukliu taikiniu kibernetiniams nusikaltėliams, siekiantiems pagrobti kuo svarbesnę ir jautresnę informaciją.

Ataka prieš „PowerSchool“ įvyko gruodžio pabaigoje, tačiau vartotojai apie tai sužinojo tik sausį

2025 m. sausio 7 d. „PowerSchool“ informavo savo klientus apie masyvų kibernetinį incidentą. Bendrovė atskleidė, kad duomenų pažeidimas buvo aptiktas dar 2024 m. gruodžio 28 d. Įsilaužėliai pavogė klientų duomenis iš „PowerSchool SIS“ platformos, pasinaudodami „PowerSource“ palaikymo portalu.

„PowerSchool SIS“ yra studentų informacijos valdymo sistema, skirta pažymių, lankomumo, registracijos ir kitų akademinių įrašų administravimui. Įsilaužėliai gavo prieigą prie „PowerSource“ portalo naudodami pavogtus prisijungimo duomenis. Tuomet jie pasinaudojo „eksportuoti duomenų tvarkytuvą“ („Export Data Manager“) įrankiu ir ištraukė konfidencialius įrašus.

Svarbu pažymėti, kad tai nebuvo išpirkos reikalaujanti kenkėjiška programa (ang. „ransomware“) ar su programinės įrangos saugumo spragomis susijęs incidentas. Tai buvo paprasta, bet itin pavojinga tinklo pažeidimo ataka, pagrįsta pavogtų prisijungimo duomenų panaudojimu.

„PowerSchool“ jau pasamdė trečios šalies specialistus, kurie atliks išsamią saugumo analizę, aiškinsis, kas buvo paveiktas ir kaip tiksliai buvo įvykdytas duomenų nutekėjimas. Tačiau nepaisant greitos bendrovės reakcijos, vis tiek šaukštai jau po pietų – daugybės mokytojų bei mokinių duomenų atsidūrė kibernetinių nusikaltėlių rankose.

Kibernetiniai nusikaltėliai galėjo pavogti itin jautrius duomenis

„PowerSource“ portale yra funkcija, leidžianti „PowerSchool“ inžinieriams prisijungti prie klientų sistemų tam, kad padėtų spręsti technines problemas. Tačiau šią galimybę išnaudojo kibernetiniai nusikaltėliai, eksportuodami „PowerSchool SIS“ duomenų lenteles „students“ (studentai) ir „teachers“ (mokytojai) į CSV formato failus, kurie vėliau buvo pavogti.

Šie nutekinti duomenys apima pagrindinę kontaktinę informaciją, tokią kaip vardai ir adresai. Tačiau kai kuriose vietovėse gali būti nutekėję ir itin jautrūs duomenys – socialinio draudimo numeriai, asmens identifikavimo duomenys, medicininiai įrašai ir pažymiai.

Gera žinia ta, kad „PowerSchool“ patvirtino, jog klientų pagalbos užklausos, prisijungimo duomenys ir forumų informacija nebuvo pasiekti. Tačiau tai menka paguoda tiems, kurių asmeniniai duomenys dabar gali būti piktavalių rankose.

Bendrovė tikina, kad duomenys nebuvo paviešinti ar išplatinti, o įsilaužėliai juos ištrynė be tolesnio panaudojimo. Vis dėlto kyla klausimas – ar tokie pažadai gali suteikti ramybę milijonams paveiktų studentų, mokytojų ir jų šeimų ir ar tikrai gudriai pavogti duomenys nebuvo ir nebus kažkur panaudoti?

„PowerSchool“ taip pat teigia, kad suaugusiems, kurių duomenys buvo pavogti, bus pasiūlytas nemokamas kreditinių saugumo stebėjimas, o nepilnamečiai gaus neįvardytą tapatybės apsaugos paslaugą.

Ar privačių rankų valdoma TAMO yra saugi platforma?

Jei žvelgsime į Lietuvą, čia jautrūs mokinių bei mokytojų duomenys taip pat yra saugomi virtualioje erdvėje. Nors yra kelios skirtingos platformos, tačiau bene pati populiariausia ir plačiausiai naudojama tarp Lietuvos mokyklų – TAMO.

Šis elektroninis dienynas nepriklauso Lietuvos Švietimo, mokslo ir sporto ministerijai ar kuriai kitai valstybinei institucijai. TAMO valdo privatūs asmenys – UAB „Tavo mokykla“, registruota Vilniuje ir veikianti jau daugiau nei 12 metų. Kaip rodo viešai prieinami Rekvizitai.lt duomenys, bendrovėje dirba 11 darbuotojų (apdraustųjų), kurių vidutinis atlyginimas siekia 2 707 eurus, o grynasis pelnas kasmet viršija pusę milijono eurų^[2].

UAB „Tavo mokykla“ vadovas yra Edgaras Jasalinis, kuris taip pat vadovauja vadovėlius spaudinančiai „Šviesos“ leidyklai, skaitmeninę mokymosi aplinką eduka.lt valdančiai UAB „Ateities pamoka“, taip pat UAB „NPP investicija“, UAB „Edukacinio turinio sprendimai“, o seniau tuo pačiu metu valdė dar kelias įmones. Tad neva nemokamas mokslas ir jam skirtos priemonės iš tiesų yra atsidūrusios privačiose rankose, kurios turi prieigą tiek prie mokytojų, tiek prie mokinių bei jų tėvų duomenų.

Kalbant apie tokio elektroninio dienyno saugumą, reikėtų prisiminti netolimą praeitį. 2024 metų kovo mėnesio pradžioje pasklido bauginanti informacija, jog buvo nutekinti TAMO prisijungimų duomenys. Tiesa, Nacionalinio kibernetinio saugumo centro vadovas Liudas Ališauskas aiškino, jog nežinia kiek iš paveiktų paskyrų iš tiesų dar buvo naudojamos, mat dalis mokinių jau galėjo būti baigę mokyklą ar panašiai. Tačiau jis buvo įsitikinęs dėl vieno svarbaus fakto – duomenų nutekinimas įvyko iš galutinių TAMO vartotojų asmeninių įrenginių, tad buvo paveikti tiek mokytojai, tiek mokiniai ir jų tėvai.

„Nėra jokių įrodymų, kad duomenys buvo pavogti įsilaužus į TAMO sistemą. Turima informacija rodo, kad duomenys buvo vagiami daug metų iš asmeninių šio dienyno vartotojų kompiuterių ar telefonų“, – tuo metu sakė L. Ališauskas^[3].

Šis duomenų nutekėjimas – tik maža dalis iš 17 mlrd. duomenų, kuriuos tamsiajame internete paviešino kibernetiniai nusikaltėliai. Pasak centro vadovo, TAMO vartotojų duomenys apėmė 120 tūkst. įrašų, kurie buvo renkami ne vienerius metus ir galėjo dubliuotis arba būti nebeaktualūs. Tačiau duomenys buvo išties jautrūs, mat juose buvo nurodyti prisijungimo duomenys.

Čia reikėtų pabrėžti, jog duomenys nutekėjo tiesiogiai iš užkrėstų įrenginių, t. y. pačių vartotojų telefonų, kompiuterių ar planšetinių kompiuterių, o tiesioginio įsilaužimo į TAMO sistemą neužfiksuota. TAMO atstovai taip pat aiškino, jog visi el. dienyno naudotojų slaptažodžiai yra užkoduoti ir sistema apsaugota nuo įsilaužimų. Tačiau kaip ir bet kuriame kitame puslapyje, elektroninė erdvė bet kada gali tapti nebe tokia saugi, jei atsiras gudresnių kibernetinių nusikaltėlių, pati platformos saugumo sistema taps pasenusi ir laiku neatnaujinta arba patys vartotojai elgsis neatsargiai su savo įrenginiais.