Afgelopen donderdagavond werden er tussen 19 en 22 uur ongewenste berichten verstuurd vanuit accounts in het Smartschool-platform. Bij de provinciale school PISO Tienen konden ze deze berichten snel onderscheppen en verwijderen.
“Wij stelden vast dat er meerdere ongewenste berichten vanuit verschillende profielen verstuurd werden”, zegt Nele Donvil van PISO Tienen. “Het lek bleek niet uit onze school te komen, wel vanuit Smartschool. Wij hebben onmiddellijk de verzonden berichten verwijderd. Als beheerder kan je dat alvast doen. Daarna hebben we de leerkrachten verwittigd om niet op de linken te klikken. Tenslotte hebben we de DPO, onze data protection officer, verwittigd.”
Stealers
De school kreeg intussen een schrijven van Smartschool zelf, waarin meer uitleg wordt gegeven. “Een gecompromitteerd account is een account waarvan gebruikersnaam en wachtwoord in het bezit is van anderen. Steeds vaker gebeurt het achterhalen van deze inloggegevens via ‘Stealers’. Deze gegevens worden daarna aangeboden op malafide websites. Dat is een zorgwekkende trend. Zulke gecompromitteerde accounts zijn dus misbruikt om berichten met ongewenste inhoud te versturen.” (Lees verder onder de foto)
Smartschool heeft meteen actie ondernomen en uit voorzorg het aanmelden door leerlingen en hun co-accounts in de webtoepassing tijdelijk uitgeschakeld. Het is momenteel ook niet mogelijk om vanuit het buitenland aan te melden op Smartschool. Dit zijn tijdelijke maatregelen die Smartschool op korte termijn hoopt terug op te heffen. De betrokken scholen ontvingen in de loop van de dag een bericht met de gecompromitteerde account(s).
Andere wachtwoorden gelekt
“Wij zullen, om herhaling te vermijden, het wachtwoord van deze accounts al veranderen”, klinkt het bij Smartschool. “Deze accounts zullen een nieuw wachtwoord moeten kiezen. Van deze accounts, zowel van leerlingen en hun co-accounts, zijn mogelijk ook andere wachtwoorden gelekt via de Stealer software. Deze personen wijzigen best al hun wachtwoorden, ook voor andere websites en activeren best ‘Aanmelden in twee stappen’.” (Lees verder onder de foto)
Smartschool benadrukt dat er geen datalek is. “Ons onderzoek wijst uit dat er geen andere gegevens gedownload, verwijderd of gewijzigd zijn. We voeren vandaag en de komende dagen verder onderzoek en zullen aanpassingen doorvoeren om herhaling te vermijden. De veiligheid van onze gebruikers komt op de eerste plaats.”