Fala włamań na konta nauczycieli w e-dziennikach różnych szkół na terenie całej Polski

W ostatnich dniach rodzice posiadający konta w dziennikach Librus i Vulcan, otrzymali od nauczycieli różnego rodzaju szokujące, kłamliwe, a niekiedy nawet sprośne wiadomości. Próbowano ich też okraść. Oczywiście, za tymi działaniami nie stali nauczyciele, a ktoś, kto przejął ich konta…

My ze swoich źródeł wiemy o dwóch takich incydentach. Jeden dotyczył systemu Vulcan w szkole na Dolnym Śląsku, gdzie z konta nauczycielki, która jest na urlopie macierzyńskim, ktoś nagle wysłał prośbę o wpłatę “35 zł na podany numer telefonu”, bo organizowana jest wycieczka do kina.

Drugi z przypadków nie nadaje się do cytowania, ale dotyczył konkurencyjnej platformy — dziennika Librus. Zachowanie tego atakującego pokazało małe wyrafinowanie i raczej brak dobrych pomysłów na spieniężenie dostępu do konta nauczyciela.

Od wczoraj w atakach na dzienniki szkolne kontaktują się z nami dziennikarze. Marcin udzielił wypowiedzi telewizji Polsat, a Piotra będziecie mogli posłuchać w wiadomościach TVP. Dziennikarze z którymi rozmawialiśmy, posiadali informacje o kolejnych incydentach tego typu — wszystko więc wskazuje na szerzej zakrojoną akcję. Nie chodzi o jedną szkołę. Nie chodzi o jeden system elektronicznych dzienników. Ministra edukacji Barbara Nowacka w wypowiedzi dla Radia Zet przyznała, że do MEN dotarły informacje o trzech incydentach, ale naszym zdaniem po prostu nie wszystkie zostały (jeszcze) do ministerstwa zgłoszone.

To wina nauczycieli, niekoniecznie platformy

Wszystkie przypadki, o których słyszeliśmy do momentu opublikowania tego tekstu, opierały się na zalogowaniu na konto użytkownika (nauczyciela). Nie chodzi więc o “włamanie na serwery tego czy innego e-dziennika”, ale o nieuprawnione logowanie się na konta określonych osób.

W tym miejscu przypomnimy, że w internecie regularnie publikowane są hasła wykradzione przez tzw. stealery. W tych bazach znajdują się dane pozwalające na dostęp do kont nauczycieli korzystających z obu popularnych w Polsce platform e-dzienników. Jedną z takich baz opisaliśmy w artykule pt. “Wyciek, którego nie było” — nie było go w tym sensie, że nie był to wyciek z poszczególnych serwisów, a z kradzież danych z zainfekowanych złośliwym oprogramowaniem komputerów samych użytkowników. Jeśli jakiś nauczyciel nie zmieniał hasła przez lata i/lub używał go w innych miejscach to prawdopodobieństwo przejęcia jego konta na Librusie lub Vulcanie rośnie.

Nie twierdzimy, że dane logowania były pozyskane akurat z tej konkretnej bazy haseł, ale wiele wskazuje, że zostały pozyskane właśnie ze logów stealerów. Wydźwięk poszczególnych ataków jest na tyle różny w sposobie, że naszym zdaniem całość zaczęła się od pomysłu, który został opublikowany (np. na jakimś forum), a następnie był realizowany przez kilka niezależnych osób.

Co na to producenci e-dzienników

Oczywiście spytaliśmy o sprawę dostawców e-dzienników. Jako pierwsza odpowiedziała nam Katarzyna Korzeniewska z firmy Vulcan. Potwierdziła, że nie doszło do żadnego “przełamania systemów” tego dostawcy, natomiast nieuprawnione logowania na konta użytkowników po prostu się zdarzają.

Nie posiadamy potwierdzonych informacji wskazujących na skuteczne ataki z wykorzystaniem techniki tzw. password spraying wymierzone w nasze systemy. (…) Nie otrzymaliśmy zgłoszeń potwierdzających scenariusze takie jak masowe zmiany ocen, wysyłanie wiadomości zawierających przemoc czy próby wyłudzeń realizowane w wyniku przełamania zabezpieczeń systemowych. Zgłoszenia, które sporadycznie do nas trafiają, dotyczą pojedynczych kont użytkowników i w większości przypadków są efektem nieuprawnionego dostępu wynikającego z naruszenia bezpieczeństwa danych uwierzytelniających po stronie użytkownika (np. ujawnienia hasła osobom trzecim).

Agata Sitarska z Librus również napisała nam, że wedle wiedzy tej platformy, nie doszło nieautoryzowanych dostępów metodą password spraying, czyli zautomatyzowanego ataku polegającego na masowych próbach logowania danymi pochodzącymi z wycieków. Ktoś logował się od razu na konkretne konta, co wspiera hipotezę korzystania z logów stealera:

Do włamań doszło z wykorzystaniem loginu i hasła, które były pozyskane przez atakujących m.in. z upublicznionych baz danych z wycieków (…) Przede wszystkim miała miejsce wysyłka wiadomości – w tym obraźliwych lub z linkami do zasobów zewnętrznych. W pojedynczych przypadkach – była to zmiany danych w e-dzienniku (głównie ocen). Należy jednak pamiętać, że system posiada rejestry zmian, dlatego placówka jest w stanie zweryfikować je i przywrócić dane do poprzedniego stanu, jeśli zajdzie taka potrzeba. Wielokrotnie wysyłaliśmy do użytkowników i dyrektorów szkół informacje, o tym, dlaczego uwierzytelnianie dwuskładnikowe jest przez nas rekomendowane oraz prośby o włączania i używanie tego rozwiązania. Administratorzy w szkołach mają narzędzia, którymi mogą wymuszać odpowiednie polityki bezpieczeństwa, jak np. obowiązkowe stosowanie 2FA na kontach nauczycieli. Dodatkowo w ostatnim czasie zaimplementowaliśmy funkcjonalność, która weryfikuje hasła z bazami skompromitowanych haseł i jeśli hasło użytkownika w nich występuje – zachęca lub wymusza jego zmianę (tu ponownie o tym, czy zmiana hasła jest obowiązkowa czy nie, decyduje szkoła jako administrator danych osobowych). Również te działania zostały poprzedzone kampanią informacyjną do naszych klientów. Ale fakty są takie, że obecnie 18,63% nauczycieli korzysta z 2FA. Ten wskaźnik wzrasta, ale bardzo powoli.

Jestem nauczycielem/rodzicem. Co robić? Jak żyć?

Po pierwsze, konta w e-dzienniku nie powinno być zabezpieczone prastarym hasłem, którego używamy od lat w wielu miejscach, ale przede wszystkim włączcie sobie logowanie dwuskładnikowe (2FA).

• W systemie Librus nauczyciel musi zainstalować aplikację Librus Nauczyciel aby móc włączyć 2FA. Inna opcja to korzystanie z 10 kodów awaryjnych, które generują się podczas włączenia 2FA (ale te trzeba regenerować po skończeniu). Jak informuje nas Librus: “Optymalnym rozwiązaniem z punktu widzenia bezpieczeństwa są sprzętowe klucze U2F, jednak ze względu na brak ich dostępności w placówkach oświatowych, zastosowano rozwiązania możliwe do wdrożenia przez wszystkich użytkowników.“… Szczegóły konfiguracji 2FA na stronie Pomocy Librus. Warto wiedzieć, że dodatkowe potwierdzenie tożsamości za pomocą drugiego składnika nie będzie wymagane, jeżeli podczas logowania na danym urządzeniu używana przeglądarka internetowa została dodana jako zaufana. Jeśli z tego komputera korzystają dzieci (albo inne cybernicponie, to lepiej jej nie zapamiętywać).
• W systemie Vulcan jest jeszcze bezpieczniej. Dostępne jest logowanie za pomocą klucza. Tę rolę może pełnić komputer lub laptop z systemem Windows 11, macOS Ventura lub ChromeOS, telefon komórkowy z systemem Android 9/iOS16 lub nowszym albo klucz bezpieczeństwa lub karta inteligentna obsługujące protokół FIDO2 (np. YubiKey 5 Series). Szczegóły na stronie eduVulcan.

Niezależnie od używanej metody logowania powinniśmy pamiętać, że konta innych osób w systemie zarówno e-dziennika jak i innych “grup rodzicielskich” w innych serwisach mogą zostać przejęte. Dlatego wszelkie prośby o wpłaty lub np. przesłanie/udostępnienie danych powinny być potwierdzone innym kanałem, zanim zdecydujemy się zadziałać tak, jak sugeruje się nam w otrzymanej przez e-dziennik wiadomości. W razie wątpliwości pamiętajmy, że telefoniczna droga kontaktu ze szkołą ciągle istnieje.

Aktualizacja 20.01.2026 15:50
Uzupełniliśmy tekst o wymogi, jakie muszą spełnić nauczyciele, aby móc włączyć 2FA w Librusie. Czekamy jeszcze na odpowiedź od Vulcana w tej kwestii, ponieważ pojawiają się głosy, że akurat nauczyciele nie mogą skorzystać z kluczy U2F jako metody 2FA.

źródło niebezpiecznik.pl 20 stycznia 2026