Hrvatski obrazovni sustav suočen je s jednim od najvećih sigurnosnih incidenata u novijoj povijesti. Na internetskom forumu javno je objavljena kriptirana datoteka koja sadrži stotine tisuća zapisa o učenicima osnovnih i srednjih škola u Republici Hrvatskoj.
Izravnom provjerom baze podataka utvrđeno je da su podaci stvarni i precizni. Pretragom po imenima učenika i pripadajućih škola potvrđena je autentičnost informacija, a javnosti je na ovaj propust inicijalno skrenuta pozornost putem objave na platformi Reddit.
Razmjeri curenja podataka i prve sumnje
Prema dostupnim analizama, kompromitirana baza sadrži točno 563.509 jedinstvenih zapisa koji obuhvaćaju učenike, nastavnike i druge korisnike iz čak 1452 obrazovne ustanove.
Koje su informacije izložene?
- Ime i prezime korisnika
- Naziv škole i korisnička uloga (učenik/nastavnik)
- Službena e-mail adresa s domenom
@skole.hr
Zanimljivo je da baza sadrži podatke starijih učenika, dok podaci najmlađih generacija nedostaju. To upućuje na mogućnost da je riječ o starijoj sigurnosnoj kopiji sustava ili o curenju podataka kroz neku od povezanih aplikacija koja koristi isključivo aktivirane korisničke račune.
CARNET pokrenuo istragu i izdao upozorenje korisnicima
Povodom ovog velikog incidenta hitno se oglasila Hrvatska akademska i istraživačka mreža (CARNET), potvrdivši da je pokrenuta opsežna tehnička i forenzička analiza.
“Odmah po saznanju pokrenuta je opsežna tehnička i forenzička analiza kako bi se utvrdila vjerodostojnost objavljenih podataka, njihov opseg, podrijetlo te način na koji su dospjeli u javnost”, navode iz CARNET-a.
Iako izloženi podaci ne omogućuju izravan pristup korisničkim računima (nisu procurile lozinke), stručnjaci i CARNET upozoravaju na povećan rizik od phishing napada (mrežne krađe identiteta) i drugih oblika socijalnog inženjeringa.
Ključne preporuke za korisnike:
- Dodatan oprez: Budite iznimno sumnjičavi prema e-mail porukama koje zahtijevaju unos lozinki ili drugih osobnih podataka.
- Lozinke za sada sigurne: Iz CARNET-a ističu kako u ovom trenutku nema indicija da je potrebno mijenjati korisničke zaporke.
- Stabilnost sustava: Trenutačno nema pokazatelja da je ugrožen rad samih CARNET-ovih usluga.
Izostanak službene reakcije Ministarstva
Budući da je riječ o masovnom izlaganju podataka maloljetnih osoba, stručnjaci upozoravaju na ozbiljne dugoročne rizike od zlouporabe identiteta. Ministarstvo znanosti, obrazovanja i mladih za sada se nije službeno očitovalo o ovom slučaju.
Daljnja istraga trebala bi utvrditi točan izvor curenja baze podataka te utvrditi odgovornost za propuste u zaštiti unutar školskog sustava. CARNET je najavio da će o svim novim i potvrđenim činjenicama pravodobno izvještavati javnost putem svojih službenih komunikacijskih kanala.